DMZでWebサーバー/プレゼンテーションレイヤーを必要とする理由を、セキュリティを持たない人々に説明する助けが必要です。ティア2(プレゼンテーション/ロジック->ロジック/ゾーンのデータ)アーキテクチャと3ティアアーキテクチャ(プレゼンテーション->ロジック->データゾーン)のオプションを指定しました。
彼らの主張は、ファイアウォール-> F5とASM->ファイアウォール->プレゼンテーション/ロジック/データレイヤーをすべて1つのゾーンに配置することで問題ないということです。彼らの主張は、これは2層アーキテクチャであるため、私の要件を満たすために数える必要があるということです。この方法でセキュリティ設計を説明する業界標準のドキュメントを見つけるように彼らに依頼し、おそらく何もないために妨害されました。
インターネットからのハッカーが最初に触れることは行き止まりで、南北に次のゾーンに移動することを防ぐべきだと私は説明するのに苦労しています。彼らは建築能力の面でそれを望んでいます。
アーキテクチャ機能の観点から2層アプリケーションセキュリティ設計アーキテクチャを説明する方法に関するアイデアはありますか?他のアイデアも参考になります。
ASM、およびその他のWAFは優れています。ただし、これらは「階層」ではありません。ティアごとに個別のセキュリティゾーンに分割するポイントは、多層防御です。プレゼンテーション層に使用されるサービスにリモートで悪用可能なバッファオーバーフローの脆弱性がある場合はどうなりますか? (*私は知っています。不可能です! http://thehackernews.com/2013/11/Vulnerability-JBoss-Application-Servers-exploit-code.html )WAFがブロックするという100%の信頼が必要ですどんな難読化手法が投げかけられたとしても、それは。それは大きな信頼です。 WAFが問題を検出できない場合は、トーストです。ハッカーはすべてのものを所有しています。彼らはネットワーク内にいて、好きなことをすることができます。
レイヤー化することで、ダメージを抑え、貫通を検出する可能性を高めることができます。ファイアウォール-> WAF->プレゼンテーション/ロジック->ファイアウォール->少なくともデータ。
もちろん、それだけではありません。ロジックレイヤーからデータレイヤーへのアクセスには、ストアドプロシージャや非常に制限されたユーザーなどが必要です。 WAFは賢いSQLインジェクションを見逃す可能性があります。多分そのデータ層もDMZの中にあるはずです。
これはすべて論理的な分離であることに注意してください。 1つのファイアウォールクラスター、1つのF5クラスター、1つのハイパーバイザークラスター、およびVLAN化されたスイッチの1つのペアは、提案されたレイアウトのいずれか1つをサポートし、ハードウェアコストを不均衡にすることはありません。セキュリティゾーンの追加は、ハードウェアの追加と複雑さの増加を意味すると考えているに違いない。必要はありません。
個人的には、2層アーキテクチャーは、ビジネスの人々が区分化を理解するのに役立つマーケティングプレゼンテーションがほとんどだとわかりました。この場合、1つのレイヤーでのリークの影響と、これを軽減するために実行できるサービス/手順の理解。論理クラスタの観点からアーキテクチャを表示する方が簡単で、各クラスタに基づいて防御することができます。仮想化されたネットワークを使用して、同様のリスクノードをすべてクラスター化し、侵害された疑いがある場合はそれらを安全に核に戻し、回復させることができます。