Назад | Перейти на главную страницу

Зачем беспокоиться о приложениях с обратным проксированием, если вы не используете mod_security или TMG / UAG?

Распространено мнение, что внутренние приложения, которые находятся внутри доверенной сети, например Exchange, должны быть обратными прокси-серверами всякий раз, когда они доступны в Интернете. Microsoft рекомендует использовать для этого UAG / TMG, поскольку он имеет некоторые встроенные функции безопасности. Mod_security играет аналогичную роль в сценариях обратного прокси apache. Однако я вижу очень много установок, в которых используется обратный прокси, но этот дополнительный уровень безопасности не используется.

Зачем вообще использовать обратный прокси в этом сценарии? Если вы не используете логику L7 для смягчения атак, каковы преимущества добавления уровня прокси по сравнению с простым открытием приложения?

С точки зрения защиты от атак отсутствие фильтрации входящих / исходящих данных, конечно, не добавляет ничего ценного. Можно утверждать, что прокси без предусмотрительности на самом деле снижает безопасность в том, что:

  • вводится большая сложность, часто с удвоенной силой.
  • меньшая прозрачность в том, что несколько уровней журналов и предупреждений требуют корреляции для каждой транзакции.
  • Поверхность атаки увеличивается за счет дополнительных подсистем.
  • большая диверсификация систем увеличивает риск человеческой ошибки.
  • в каждой системе есть ошибки, которые вносят неопределенность, прокси-серверы не исключение.

не говоря уже об отходах технологических ресурсов (машины, хранилище, резервное копирование / восстановление и т. д.).

С другой стороны, могут быть победы, которые связаны с безопасностью другими способами:

  • Возможности балансировки нагрузки и аварийного переключения.
  • Большая гибкость в отделении уровня доступа от уровня обслуживания (то есть упрощение обслуживания, реструктуризации и т. Д.).
  • Будущий вариант, позволяющий легко ввести фильтрацию и многое другое без конкуренции за системные ресурсы на уровне обслуживания.
  • Разделение функций, отличных от простой фильтрации сигнатур атак, таких как логика перезаписи или определенное ведение журнала, например, для большей простоты настройки и меньшего риска во время изменения.
  • Некоторые функции могут быть лучше документированы или известны на прокси-платформе, что дает большую стабильность и контроль или уменьшает количество неизвестных за счет их удаления от серверной части.

Я уверен, что есть еще кое-что, это просто из моей головы.

Было время, когда при установке Apache по умолчанию просто было меньше известных дыр в безопасности, чем при установке IIS по умолчанию; который в одиночестве было улучшение безопасности.

Таким образом, это могло стать просто племенным преданием, потому что когда-то это была лучшая практика.