Estamos lidiando con cómo los arquitectos son back-end para la seguridad. Algunas de las recomendaciones que he visto tienen este aspecto:
Algunos tendrán otro servidor de seguridad entre el servidor de aplicaciones y la base de datos (que estaría en la red interna).
La pregunta está en las páginas altamente interactivas de hoy, donde gran parte de la lógica está en JavaScript ¿Cómo funcionaría esto? Javascript generalmente necesita recibir json. Supongo que en esta estructura, el servidor web no puede comunicarse directamente con el servidor de la base de datos. Así que tendrías que pasar por el servidor de aplicaciones. Todo eso está muy bien cuando sus páginas son estáticas y el único código que se comunicará con el servidor de aplicaciones será el servidor web, pero en general, javascript deberá comunicarse con el servidor de aplicaciones (que en nuestro caso serán servicios REST). También asumo que en esta estructura lo único que puede comunicarse con el servidor de aplicaciones es el servidor web.