¿Qué amenazas puede mitigar un firewall entre un servidor de aplicaciones y un servidor de base de datos que de otra manera no se mitigaría cuando tanto el servidor de base de datos como el servidor de aplicaciones estén detrás del mismo firewall?
El riesgo es simple: un atacante que obtiene el control sobre uno de esos servidores probablemente podría comprometer al segundo servidor. De la base de datos a la aplicación o al revés.
Si configura un dispositivo de firewall entre esos dos, hay dos posibilidades:
Firewall de red (estándar): no podrá hacer mucho desde ese tipo de dispositivo, además de limitar las conexiones del servidor de aplicaciones al servidor de la base de datos (es decir, denegar las conexiones del DB al servidor de aplicaciones).
Web Application Firewall (WAF) o cualquier otra tecnología de nivel 7: podrá prevenir y / o detectar ataques de un servidor a otro y para restringir el tráfico como en el caso anterior. solución.
Entonces, básicamente, la respuesta es realmente que deberías usar alguna tecnología de firewall / filtrado entre tu aplicación y tus servidores de base de datos. También se puede considerar una solución basada en host, además de un dispositivo de red o como la solución principal.