У нас есть веб-инфраструктура с фермой веб-серверов. Они находятся за балансировщиком нагрузки, который выполняет разгрузку SSL. У нас также есть IPS и, очевидно, набор межсетевых экранов.
Теперь по соображениям безопасности нас попросили изучить возможность добавления обратного прокси. Я настаиваю, что это сделано только из соображений безопасности, поскольку мы не планируем использовать кеширование.
У меня вопрос: стоит ли прилагать усилия? Есть ли добавленная стоимость в дополнительном слое, и если да, оправдает ли это потраченное время?
Если ваш веб-сервер (предварительно) разветвляется или использует легковесные процессы (потоки), то использование прокси на основе событий (например, ATS, nginx, NOT varnish) впереди дает большую защиту от атак типа sloloris. Но в отсутствие кеширования (или DOS-атак) это замедлит ваш трафик.
Почему так анти кеширование?