Esporre il servizio Web in modo sicuro

Naviga le tue risposte
3

Requisiti

Ho un servizio web che devo esporre sulla DMZ per le comunicazioni esterne. Il servizio web comunica direttamente con un database critico che si trova su una rete interna.

Soluzione corrente

Questo problema è attualmente risolto con un servizio esposto nella DMZ, l'endpoint è protetto da un certificato e sta utilizzando https. Quando viene ricevuta una richiesta, il servizio entra in una struttura di coda in memoria. Un servizio interno è quindi responsabile della conservazione di un canale TCP in uscita aperto che cerca i messaggi nella coda esterna e si assicura che il servizio esterno li invii al database interno utilizzando il canale TCP in uscita ora aperto. Questo è visto come più sicuro in quanto non richiede che il firewall si apra per il traffico in entrata, solo in uscita dal servizio interno.

Qual è la soluzione ottimale?

La mia domanda è comunque se è più sicura e allora perché? Non è possibile configurare solo il firewall per limitare il traffico in entrata solo dal server nella DMZ e renderlo sostanzialmente sicuro?

Qual è la soluzione di fatto per questo tipo di scenari?

    
posta Riri 16.10.2013 - 09:29
fonte

1 risposta

2

Normalmente, si costruisce una soluzione con un gateway edge, in cui la zona pericolosa (WAN) raggiunge il gateway e tale gateway inoltra il traffico alla DMZ. Questo è il modo migliore per ottenere una soluzione hardware fisica.

Ci sono molti modi per farlo, ma il mio metodo preferito è quello di avere un gateway edge dedicato che si trova all'esterno della DMZ, che quindi VPNs nella DMZ. L'endpoint VPN all'interno della DMZ può essere configurato per limitare il traffico in arrivo. Il gateway edge funge essenzialmente da proxy trasparente, passando le richieste al server di destinazione all'interno della DMZ. È possibile ottenere questo con la maggior parte dei prodotti di bilanciamento del carico, sia come appliance dedicate o soluzioni virtualizzate.

Questo ha i seguenti vantaggi:

  • Il dispositivo rivolto verso la WAN si trova all'esterno della DMZ.
  • Tutto ciò che entra e esce dalla DMZ è crittografato, autenticato e controllato per l'integrità.
  • Il gateway Edge può fornire NIDS / NIPS in linea e firewall stateful, consentendo così di bloccare il traffico in cattivo stato prima che entri anche nella DMZ.
  • Hai più livelli di controllo di sicurezza della rete: le regole di firewall e inoltro del gateway Edge, le impostazioni di sicurezza dell'endpoint VPN e il firewall sulla casella dei servizi Web.
  • È possibile rilevare e bloccare le connessioni in uscita (ad esempio per mitigare la shell inversa) su più livelli della rete.
  • Compromettere il gateway non mette immediatamente l'attaccante in una posizione privilegiata all'interno della DMZ, poiché è limitato a ciò che consente la VPN.
risposta data 16.10.2013 - 12:25
fonte

Leggi altre domande sui tag

Strumenti per analizzare Hook su Windows 7/2008, piattaforma x64 [chiuso] Chrome ha abbattuto la connessione TLS dopo aver ricevuto il server ChangeCipherSpec