Proxy tra server Web in DMZ e SOAP-service nella rete interna?

1

Ho un server web che si trova in una DMZ ed è esposto a Internet.

Ho anche un server di applicazioni che ospita un servizio SOAP nella rete interna.

Devo accedere al servizio SOAP dal server web.

So che potrebbe aprire una porta e consentire l'accesso diretto https dal server web al servizio SOAP, ma non voglio farlo.

Ha senso aggiungere un server proxy nella rete interna e consentire al server Web di accedere solo al proxy, tramite https?

Il proxy inoltrerebbe quindi le richieste al servizio SOAP.

Questo è un miglioramento della sicurezza?

    
posta yglodt 15.03.2017 - 16:18
fonte

1 risposta

3

Proxy Web vs Port Forwarding:

Il proxy è più semplice da dirottare e riconfigurare (è un'applicazione), quindi le tabelle di routing del kernel ecc. Inoltre, il proxy Web creerà più carico dello stack TCP / IP del kernel. Quindi il proxy è peggio dal punto di vista della sicurezza e del carico della macchina.

Problema di architettura:

Ogni configurazione in cui si consentono connessioni da DMZ a rete interna è errata e dovrebbe essere evitata. Il problema è in

I need to access the SOAP-service (internal network) from the web server (DMZ).

Non è come dovrebbe funzionare DMZ. Creiamo DMZ per separare i servizi di fronte al mondo esterno (Internet) dalla rete interna, quindi quando (perché è davvero QUANDO, non SE) sono stati compromessi, l'attaccante non può spostarsi facilmente per sfruttare la rete locale.

Soluzione suggerita:

È possibile creare una seconda DMZ limitata per il servizio SOAP e cofattare il port forwarding solo per il traffico proveniente dal proprio servizio Web in DMZ e nella rete interna. In questo modo il servizio SOAP è protetto allo stesso modo di quando si trova nella rete interna, ma inoltre, quando viene compromesso, non si apre la rete interna all'attaccante.

    
risposta data 15.03.2017 - 17:00
fonte

Leggi altre domande sui tag