Reverse Proxy + WAF

Non hai definito il sito web / l'applicazione. È mutabile? - Se si tratta principalmente di contenuto statico, alcune regole del web server potrebbero far cadere il traffico dannoso.

Se è il cliente di fronte / dinamico ... vuoi tutto quel traffico che colpisce la tua rete ?; un'opzione migliore potrebbe essere quella di spingerlo nel cloud, avere un dispositivo virtuale di bilanciamento del carico WAF + davanti al cloud elastico del server. WAF proteggerà dagli attacchi di integrità dei dati (ad esempio SQL injection); bilanciamento del carico / elasticità da DOS.

Se lo hai locale, dovrai fare i conti con domande non valide (respinte da WAF); i cattivi attori (bloccati per IP, basati sui registri WAF) e, in definitiva, il successo del servizio - il traffico legittimo può travolgere la tua connessione Internet e influire negativamente su altri processi aziendali?

Lo scopo del tuo Proxy è quello di agire da intermedio tra i server nella tua DMZ e i client di quei server su Internet. Può agire in un ruolo di sicurezza intercettando le richieste di intestazione e può agire in un ruolo di prestazione tramite il bilanciamento del carico e l'ottimizzazione.

La maggior parte dei WAF on-premise si basano su proxy inversi ma hanno software aggiornato e hardware più potente. Lo scopo del tuo WAF è quello di mediare il traffico HTTP proveniente dal web nella tua DMZ. È (molto probabile) già in grado di eseguire tutte le funzioni che il proxy inverso può eseguire.

SSL deve essere terminato sul WAF o sul firewall esterno a seconda della funzione del firewall esterno. NGF = Sì, Altro = No.

Un'altra considerazione è l'architettura. I WAF on-premise sono costosi. In genere sono prezzati sulla velocità effettiva, quindi, a seconda delle dimensioni della rete, potrebbe essere opportuno rimuovere la LAN interna dal WAF, soprattutto perché non dovrebbero esserci connessioni in entrata direttamente alla LAN interna.

Direi che dipende dal tipo di dati che stai trasferendo e dai regolamenti che possono essere applicati, terminando la connessione TLS e trasferendo i dati in chiaro sarà una violazione di alcuni regolamenti (ad esempio PCI-DSS).

C'è anche il problema della privacy, ti dispiace se i dati viaggiano in modo chiaro da quando inserisci il punto di terminazione TLS al tuo punto di accesso web?

È possibile eseguire la terminazione TLS al WAF e quindi aprire un'altra connessione TLS all'endpoint in modo che i dati non stiano viaggiando in chiaro ma si può ispezionare il flusso, si può anche fare sia waf + reverse proxy con apache e modsecurity gratuitamente . Esiste una versione docker GitHub che può essere configurata in pochi minuti (modsecurity-crs-rp).