¿Vale la pena un proxy inverso? Hay tantos sitios no seguros que utilizan un proxy inverso y siento que eso no los protege. Después de todo, si tienen un error en su SQL que podría usarse para inyección, ¿verdad? Siento que muchas personas confían en el proxy inverso sin saber cómo programar correctamente
Primero me gustaría comentar específicamente sobre esta declaración -
"Hay tantos sitios no seguros que usan un proxy inverso y me siento así no los protege ".
El hecho de ver que algún sitio está utilizando X o Y CDN / WAF, no significa que tengan alguna seguridad. Algunos usan planes gratuitos / de bajo nivel que ofrecen seguridad parcial, y otros no activan ciertas funciones de WAF (incluso si están pagadas).
Al igual que cualquier medida de seguridad, virtual o física, los firewalls de aplicaciones web (a través de proxy inverso o cualquier otro formato de implementación) no son una bala de plata.
¡No significa que no debas usarlos, al contrario! El uso de una nube WAF adecuada lo ayuda a evitar las trampas muy comunes que sufren muchos sitios web:
Código de terceros : es posible que estés escribiendo algún código kick - ***, pero que sobre las bibliotecas de terceros que utiliza? ¿Qué pasa con los servidores en ejecución WordPress / Joomla / Drupal / Magento /…?
No puede ser responsable de cada pieza de código que ejecuta su sistema, y el tiempo de revisión es crítico. Un proveedor adecuado de Cloud-WAF le brinda parches virtuales que son magnitudes más rápidas y más confiables que un sitio en pánico.
Vulnerabilidades de nivel inferior : ¿recuerdas Heartbleed? ¿Neurosis de guerra? ¿CANICHE?
¿Cuánto tiempo le lleva implementar los parches a nivel del sistema operativo? En algunos casos, si son más de un par de horas, es muy probable que esté comprometido.
DDoS Mitigation : con suerte, todo el mundo ya lo sabe, que solo puede mitigar por completo el DDoS utilizando un servicio de depuración en la nube. (Y no, AWS NO es un servicio de limpieza).
Filtrado de visitantes abusivos : Spam de comentarios, spam de referencia, raspado, etc.
Cosas que, desafortunadamente, tienen algo que ver con su capacidad de "programar correctamente". Cliente de origen en la nube La clasificación y la reputación te dan eso.
Seguridad en el borde : ¡no solo el almacenamiento en caché de contenido! Puede descargar muchos trabajos pesados y molestias hasta el borde.
Eso es solo para darle una idea, hay muchas más cosas excelentes que un CBSP puede darle (no hemos discutido la visibilidad en absoluto).
Divulgación: trabajo @ Imperva Incapsula, un CBSP que proporciona Cloud WAF / DDoS Mitigation / CDN / GSLB.
En última instancia, asegurar un sistema no significa necesariamente que sea imposible entrar en él, ya que es prácticamente imposible. En cambio, el objetivo a menudo es hacer que sea lo suficientemente difícil como para que los posibles piratas informáticos necesiten una inmensa cantidad de recursos para hacerlo, de modo que no se molesten en intentarlo o sigan hacia objetivos más fáciles. Los Firewalls de aplicaciones web son solo otra herramienta para ayudarlo a lograr esto. Son capaces de detectar una gran variedad de ataques, incluida la inyección de SQL y XSS, y aunque existen formas de evitarlos, se necesitaría un atacante bastante determinado para hacerlo. Por lo tanto, un WAF puede desempeñar un papel muy útil en una estrategia de defensa en profundidad de múltiples capas.
Sin embargo, tienes razón en que un WAF no es invencible y no debería ser una excusa para escribir un código inseguro, al igual que recibir una vacuna no debería ser una excusa para no lavarte las manos. Se debe tratar solo como una última línea de defensa y los desarrolladores no deben asumir que WAF protegerá contra todas las vulnerabilidades.
Con respecto a CloudFlare, creo que su plan gratuito está destinado principalmente para CDN / almacenamiento en caché y solo proporciona protección contra DDoS y ataques de aplicaciones web básicas. Requieren un plan pagado para un WAF más sofisticado.
(Y solo para aclarar la terminología, asumo que estás hablando de un WAF y no solo de un proxy inverso. Aunque un WAF se puede combinar con un proxy inverso para proteger muchos servidores / sitios a la vez (por ejemplo, CloudFlare), un WAF se puede configurar sin un proxy inverso y viceversa. Como han dicho otros, los proxies inversos a menudo se usan solo con fines de almacenamiento en caché / rendimiento.)
Los principales beneficios de un proxy inverso son un mejor rendimiento, capacidad y gestión del tráfico. Hay un pequeño beneficio de seguridad en el sentido de que proporciona cierto aislamiento para su aplicación; solo http válido llegará a su servidor web, y debería manejar mejor los ataques de tipo sloloris. La mayoría de estos proxies permiten aplicar algo de inteligencia a las solicitudes, a menudo sin tener que desconectar el servicio, lo que permite responder a un ataque prolongado en su servidor.
Un CDN agrega beneficios de rendimiento adicionales si implementa correctamente un DNS con reconocimiento geográfico (muchos aún no lo hacen).
Ciertamente, no debería ser menos seguro con un proxy inverso, y para la mayoría de las personas los beneficios principales justifican el costo / esfuerzo.
¿Se refería a un servidor de seguridad de aplicación web en lugar de proxy inverso?
La razón principal para usar un proxy inverso suele ser el límite de rendimiento, como el almacenamiento en caché o el equilibrio de carga. A menudo, tiene el beneficio adicional de detener ataques como loris lentos, ya que el proxy inverso requerirá una solicitud completa antes de pasarla al servidor web de fondo. Sin embargo, esto es más un efecto secundario y no una característica de seguridad del proxy inverso.
Lea otras preguntas en las etiquetas proxy