Назад | Перейти на главную страницу

Просто LB или также веб-серверы в демилитаризованной зоне?

Обязательно ли в среде с балансировкой нагрузки, чтобы все веб-серверы находились в демилитаризованной зоне? Или просто размещение балансировщика нагрузки в DMZ обеспечит желаемую безопасность? Если это важно, веб-сервер и сервер приложений одинаковы - GF, Tomcat, обслуживаемый httpd на одном сервере, OAS и т. Д.

LB -> ВЕБ / ПРИЛОЖЕНИЕ -> БД

Кроме того, была бы установка другой, если бы она была

LB -> Веб-сервер -> Сервер приложений -> БД

Спасибо, Брэдфорд

Моим первым ответом было бы, что веб-сервер должен находиться в DMZ.

Концепция DMZ - это зона, где, если атака успешна, она не затрагивает остальную часть организации. В идеале не должно быть возможности перейти с любого компьютера в DMZ во внутреннюю / защищенную сеть.

Из комбинации LB / веб-сервер / сервер приложений LB, вероятно, менее подвержен успешной атаке. Таким образом, я бы сказал, что эти машины должны находиться в демилитаризованной зоне.

С уважением,
Жуан Мигель Невеш

Безопасность - это все о слоях. Просто полагаться на единую технологию DMZ (или любую технологию) для обеспечения безопасности будет проблематично. Нет двух одинаковых сетей и существуют ли требования безопасности?

Если вы поместите свой LB в DMZ, то то, что когда-либо предоставляет вашу DMZ, также должно будет нести эту нагрузку. Что делает ваша DMZ? фильтрация пакетов, проверка l7, IDS и т. д. и все такое?

Что вы пытаетесь защитить? и от чего вы пытаетесь его защитить? Какой у вас трафик? Если вы увеличиваете гигабитный канал, вам понадобится много дополнительной инфраструктуры, чтобы справиться с этим трафиком. Эта инфраструктура должна быть отказоустойчивой.

Почему бы не усилить вашу операционную систему, применить правильные правила брандмауэра на основе хоста и некоторые базовые фильтры на вашем пограничном маршрутизаторе.

Межсетевые экраны с отслеживанием состояния тоже имеют ограничения, и это еще одна часть инфраструктуры для балансировки нагрузки, мониторинга и обслуживания. (и потенциально иметь проблемы с безопасностью).

Безопасность - это процесс. Простая реализация dmz на самом деле ничего не исправит, если вы действительно не знаете, что пытаетесь защитить и почему.

Вы можете продолжать добавлять слои, но ваше добавление сложности, снижение сложности иногда более безопасно, так что это настоящий компромисс.

Я видел много сетей с множеством дорогих устройств и программ сетевой безопасности, и когда вы спрашиваете, делают ли они регулярные резервные копии баз данных в автономном режиме, они ничего не значат.

Этот ответ, вероятно, вызвал больше вопросов, чем ответов, но это короткий вопрос с очень длинным ответом.

Любой, кто отвечает «просто установите брандмауэр», вероятно, не должен отвечать на все это!

Балансировщик нагрузки. LTM будет менее уязвим, поскольку в основном только VIP и порт, назначенный этому VIP, открыты для публики, а не сам LTM. Кроме того, это уменьшит количество доходов, которые вы должны открыть из DMZ во внутреннюю сеть, если ваше веб-приложение или сервер должны аутентифицировать пользователей (LDAP) или любые другие функции SQL и т. Д. В этом случае из DMZ во внутреннюю сеть открывается только порт 80 или 443. теперь, если это один веб-сервер и не требуется внутренний доступ к любому другому, вы можете поместить его в DMZ, но если вы внутренний и все еще нуждаетесь в доступе, вам все равно придется открыть веб-порты и / или порты RDP для внутренней сети Так что лучше использовать Load Balancer, чем сервер в DMZ