web-dev-qa-db-ja.com

プロキシExchangeをリバースするかどうか

現在、Forefront TMGを実行して、プロキシExchange2010を外部にリバースプロキシしています。

現在、Exchange 2016環境を準備していますが、Forefront TMGが廃止されたため、それがないソリューションが必要です。私は今、防御と負荷分散の第一線としてpfSenseとHAProxyを持っています。

私が持っている質問:ロードバランサーとExchangeの間にリバースプロキシを追加する必要がありますか?これはどこに有益ですか?それはすべて、同じハイパーバイザーとその下のストレージインフラストラクチャから実行されます。

HAPrxoy 1.8に、小さなオブジェクトのメモリ内キャッシュ機能が追加されたことを知っています。これにより、Webサービスが高速化される可能性があります。ただし、その一方で、OWAとECPのみに静的コンテンツが含まれています。

何か案は?

ご挨拶、

ロナルド

3
user292026

オンプレミスのExchange環境をフロントエンドするAzureADAppプロキシがあります。それを行う理由はすべてセキュリティに関するものです。

外部プロキシレイヤーを使用すると、Exchangeがネイティブに実装しない他のルールを実装できます。 IP制限、geoIP制限、多要素認証など-プロキシがサポートするものは何でも。

Windowsを実行しているExchangeサーバーに対してポート80と443を開いておらず、未知の脆弱性がある可能性があります。明らかに、脆弱性の数を減らすためにプロキシに依存していますが、プロキシがドメインメンバーではなく、何らかの形式のDMZである限り、プロキシが所有されている場合でも、pwnされたプロキシマシンがもたらす可能性のある損害の量うまくいけば、所有しているExchangeマシンよりもはるかに小さいです。

警告-プロキシがセキュリティ機能を強化したり、攻撃対象領域を減らしたりしない場合は、環境を複雑にするだけで、見返りはありません。

5
mfinni