Exponer el servicio web de forma segura

Navega tus respuestas
3

Requisement

Tengo un servicio web que necesito exponer en la DMZ para la comunicación externa. El servicio web se comunica directamente con una base de datos crítica que se encuentra en una red interna.

Solución actual

Esto se resuelve actualmente al tener un servicio expuesto en la DMZ, el punto final se asegura mediante un certificado y usa https. A medida que se recibe una solicitud, el servicio se coloca en una estructura de cola en memoria. Luego, un servicio interno es responsable de mantener abierto un canal TCP saliente que busque mensajes en la cola externa y de asegurarse de que el servicio externo los publique en la base de datos interna utilizando el canal TCP saliente ahora abierto. Esto se ve de forma más segura, ya que no requiere que el firewall se abra para el tráfico entrante, solo que salga del servicio interno.

¿Cuál es la solución óptima?

Sin embargo, mi pregunta es si es más segura y entonces ¿por qué? ¿No se pudo configurar solo el firewall para restringir el tráfico entrante solo del servidor en la DMZ y hacerlo básicamente seguro?

¿Cuál es la solución de facto para este tipo de escenarios?

    
pregunta Riri 16.10.2013 - 09:29
fuente

1 respuesta

2

Normalmente, construiría una solución con una puerta de enlace de borde, por lo que la zona peligrosa (WAN) llega a su puerta de enlace, y esa puerta de enlace envía el tráfico a la DMZ. Esto se logra mejor con una solución de hardware físico.

Hay varias formas de hacer esto, pero mi método preferido es tener una puerta de enlace de borde dedicada que se encuentre fuera de la DMZ, que luego VPN en la DMZ. El punto final VPN dentro de la DMZ se puede configurar para limitar el tráfico que llega. La puerta de enlace de borde actúa esencialmente como un proxy transparente, pasando las solicitudes al servidor de destino dentro de la DMZ. Puede lograr esto con la mayoría de los productos de equilibrio de carga, ya sea como dispositivos dedicados o soluciones virtualizadas.

Esto tiene los siguientes beneficios:

  • El dispositivo orientado a WAN está fuera de la DMZ.
  • Todo lo que entra y sale de la DMZ está cifrado, autenticado y se verifica su integridad.
  • La puerta de enlace Edge puede proporcionar NIDS / NIPS en línea y un firewall con estado, lo que le permite bloquear el tráfico malicioso incluso antes de que ingrese a la DMZ.
  • Tiene varias capas de control de seguridad de red: el firewall y las reglas de reenvío de la puerta de enlace Edge, la configuración de seguridad del punto de enlace de la VPN y el firewall en el cuadro de servicio web.
  • Puede detectar y bloquear las conexiones salientes (por ejemplo, para mitigar el shell inverso) en varias capas de la red.
  • Comprometer a la puerta de enlace no coloca al atacante en una posición privilegiada dentro de la DMZ, ya que están limitados a lo que permite la VPN.
respondido por el Polynomial 16.10.2013 - 12:25
fuente

Lea otras preguntas en las etiquetas

¿Por qué se requiere Access-Control-Allow-Origin para las solicitudes de dominio cruzado sin credenciales? [duplicar] ¿Las herramientas de colaboración basadas en la nube son "seguras"?