Exponga de forma segura el servicio web de la red empresarial a un cliente de Internet

Navega tus respuestas
3

(procedente de stackoverflow )

¿Existen estándares (o soluciones certificadas) para exponer un Servicio (Web) a Internet desde una red muy sensible a la seguridad (por ejemplo, Banca / Finanzas)?

No estoy hablando específicamente de WS- * o de ninguna otra seguridad de la capa de transporte a la SSL / TLS, sino de normas importantes o certificaciones que deben ser obedecidas.

¿Hay algún producto conocido (proveniente de un entorno SAP) que pueda proporcionar un "proxy de alta seguridad" de algún tipo para exponer servicios web específicos a Internet?

¿Alguna palabra de moda que un CIO / CTO sepa sobre este tema?

    
pregunta hotzen 07.02.2012 - 08:54
fuente

2 respuestas

3

Mientras que la respuesta dada por AaronS llega a la esencia de esto (aunque con bastante dureza, si puedo decirlo), creo que el principio general que se aplica a cualquier solución segura es la defensa en profundidad. Es decir, usar varias capas de seguridad para evitar ataques, compromisos o fugas de datos.

No voy a entrar en el debate de qué porcentaje de ataques / fugas son internos , pero sea lo que sea, esto tampoco debe ser olvidado ni ignorado. Puede seguir la sugerencia de AaronS y "nunca abra su LAN a Internet" y coloque el servidor en la DMZ, y un empleado aún podría ser capaz de volcar su base de datos en un dispositivo de memoria y salir con la puerta.

Entonces, si está buscando palabras de moda, me gustaría comenzar asegurándome de que tiene protección de red (por ejemplo, Cortafuegos , Detección / Prevención de Intrusiones ) primero, aplique todos los parches y actualizaciones necesarios para su software y sistema operativo ( Hardening ). Use segregación de red para separar sus aplicaciones para que el flujo de datos se controle estrictamente (DMZ es un ejemplo común, pero otros modelos de segmentación de red también funcionan). Asegúrese de que el servicio web esté desarrollado de forma segura , probado y revisado por el código. Incluso con el mejor firewall y DMZ del mundo, si la aplicación en sí es vulnerable, la mayor parte de esta protección podría tener un efecto limitado. Dado que el servicio web externo probablemente consumirá datos o se comunicará de alguna manera con los componentes internos, asegúrese de que las mismas metodologías se apliquen a ellos también. Asegúrese de que Autentificación y Autorización se utilicen para controlar el acceso a los datos. Asegúrese de tener un monitoreo sólido y registro en su lugar ... La lista continúa. Esto no es de ninguna manera un sustituto de una arquitectura / análisis de seguridad adecuado, que las personas de seguridad de su organización deberían poder realizar.

En cuanto al 'proxy de alta seguridad' sobre el que preguntaba: hay algunos productos que brindan protección de capa de aplicación, consulte Firewall de aplicaciones en Wikipedia. También se pueden agregar a la mezcla, pero no dependería únicamente de estos para su seguridad.

    
respondido por el Yoav Aner 07.02.2012 - 10:49
fuente
2

No lo haces , especialmente en el sector bancario / financiero.

La LAN corporativa nunca debe estar abierta a Internet.

Deberías poner tu servidor en DMZ.

A

    
respondido por el AaronS 07.02.2012 - 09:02
fuente

Lea otras preguntas en las etiquetas

¿Se ha solucionado la falla de IE8 XSS Filter XSS? Cuando se utiliza un disco de recuperación, como el CD de inicio AVG, para detectar virus, malware, etc. ¿Cuáles son las limitaciones?