Estoy buscando implementar infraestructura para una aplicación web que vivirá en una pila LAMP. La infraestructura es tal que esta es la única aplicación que vivirá en este servidor y debe ser lo más segura posible.
Tradicionalmente, implementamos un servidor front-end en una DMZ y tenemos un servidor DB en una red segregada y entre ellos hay una regla de firewall que solo permite que las llamadas TCP 3306 del servidor web vuelvan al servidor de la base de datos. Cuando varias aplicaciones viven en un servidor, veo la relevancia allí como si una aplicación / sitio fuera comprometido, entonces existe la posibilidad de poner en cuarentena los daños a la aplicación & Credenciales que se han cosechado.
Con una sola aplicación web, estoy luchando para ver cómo esto podría proporcionar un beneficio de seguridad. En teoría, si su servidor web se ve comprometido, la gente tendrá acceso a las credenciales de la base de datos que utiliza la aplicación en qué punto finaliza el juego, ¿no?
Desde una perspectiva estrictamente de seguridad, ¿cuáles son las razones principales para dividir la aplicación en servidores front-end y back-end?