Обратный Прокси - это должен быть другой технологический стек?
Смотрите на следующую статью в nixCraf, HowTo: Ускорьте Здание Набега программного обеспечения Linux И Пересинхронизацию.
Это объясняет различные настройки в/proc, который может быть скорректирован для влияния на скорость набега программного обеспечения. (Не только во время создания/синхронизации, поскольку заголовок предлагает.)
В то время как различные технологии для внешнего и внутреннего интерфейса дают номинальное повышение безопасности, сумма весьма спорна. Проще говоря, то, что внешний интерфейс скомпрометирован, сам по себе не означает, что сервер или любое другое искусство сети скомпрометировано. Хотя можно утверждать, что какой бы метод не использовался для компрометации внешнего интерфейса, теперь он может быть реализован на сервере, это не обязательно означает, что метод будет эффективным против новой цели (целей).
С учетом сказанного, если у вас почти одинаковые системы и конфигурации для внешнего и внутреннего интерфейса, тогда да, вы получаете дополнительную безопасность, используя другую технологию для одного из них.
Независимо от того, используете ли вы те же или разные технологии, я предлагаю использовать разные учетные записи в каждой системе.
Во-первых, большинство балансировщиков нагрузки работают как обратные прокси wikipedia f5 devcentral . Однако существуют различия в защите, связанные с архитектурой балансировщиков нагрузки (или обратных прокси). Примечание: я буду использовать термины «балансировщики нагрузки» (LB) и «обратный прокси» (RP) как взаимозаменяемые в дальнейшем.
LB обеспечивает дополнительную безопасность, выступая в качестве посредника для всех коммуникаций. Большинство LB корпоративного уровня действуют как прокси уровня 7. Для веб-трафика клиентский HTTP-сеанс полностью завершается на LB, и LB повторно устанавливает HTTP-соединение на стороне сервера с сервером. При принудительном завершении уровня 7 (l7) вся полезная нагрузка может быть просмотрена, очищена и отправлена обратно на сервер в чистом виде и оптимизирована. Во многих случаях, LB также реализует брандмауэр веб-приложений в качестве дополнительного модуля для дальнейшей проверки трафика на наличие аномальных шаблонов перед отправкой трафика обратно на веб-сервер.
Относительная сила защиты, обеспечиваемая LB в вышеприведенной модели, зависит от того, завершается ли трафик на уровне 17 или более низком. Некоторые балансировщики нагрузки могут работать только на сетевом уровне, что в основном означает, что LB может просто перезаписывать информацию об IP / порте, когда трафик перетекает со стороны клиента на сторону сервера. Кроме того, вполне возможно настроить LB, способный к полному прокси-серверу l7, для работы только на сетевом / транспортном уровнях для повышения производительности (завершение l7 требует значительных ресурсов). В таком случае балансировщик нагрузки может не очищать трафик настолько тщательно, насколько это возможно.
Возвращаясь к вашей модели, если RP = LB, то с точки зрения архитектуры, Предлагаемая архитектура добавляет дополнительную сложность, чем текущая модель. Однако главное здесь в предлагаемой модели: S1 / S2 инициирует исходящее соединение с DMZ. Злоумышленник может скомпрометировать RP, но не сможет установить новый сеанс обратно на S1 / S2 или во внутреннюю сеть. Однако, если в S1 / S2 или DB, MQ есть слабые места приложения, злоумышленник может предвидеть туннель обратно в сеть для доступа к S1 / S2. Кроме того, поскольку «RP» использует тот же стек технологий, что и S1 / S2, любая слабость в S1 / S2, вероятно, будет существовать и в «RP». Однако, если «RP» не поддается взлому, то предлагаемая модель повышает уровень безопасности, поскольку сетевые стеки S1 / S2 защищены, и атака должна сначала быть нацелена на стек приложения.
Хотя это ' Можно утверждать, что значение безопасности, которое добавляет эта модель (если злоумышленник взламывает dmz / int fw, тогда у него будет открытый доступ к интрасети, и эта модель не защищает от обычной атаки с копьем), такая модель может быть более приемлемой для парень комплаенс, чем нет. Это особенно актуально для соответствия требованиям PCI, где любая система, имеющая доступ к среде CHD, также входит в сферу действия. В приведенном выше случае вся DMZ может входить в область действия, но если вы установите исходящее соединение из среды CHD, то в область будет добавлен только «RP». Хотя я не имею в виду, что это так, я видел, как архитекторы подходили к сокращению объема PCI таким образом.
такая модель могла бы быть более приемлемой для специалиста по комплаенсу, чем нет. Это особенно актуально для соответствия требованиям PCI, где любая система, имеющая доступ к среде CHD, также входит в сферу действия. В приведенном выше случае вся DMZ может входить в область действия, но если вы установите исходящее соединение из среды CHD, то в область будет добавлен только «RP». Хотя я не имею в виду, что это так, я видел, как архитекторы подходили к сокращению объема PCI таким образом. такая модель могла бы быть более приемлемой для специалиста по комплаенсу, чем нет. Это особенно актуально для соответствия стандарту PCI, когда любая система, имеющая доступ к среде CHD, также входит в сферу действия. В приведенном выше случае вся DMZ может входить в область действия, но если вы установите исходящее соединение из среды CHD, то в область будет добавлен только «RP». Хотя я не имею в виду, что это так, я видел, как архитекторы подходили к сокращению объема PCI таким образом. м, не подразумевая, что это так, я видел, как архитекторы подходили к сокращению объема PCI таким образом. м, не подразумевая, что это так, я видел, как архитекторы подходили к сокращению объема PCI таким образом.