web-dev-qa-db-ja.com

エンタープライズネットワークからインターネットクライアントにWebサービスを安全に公開する

stackoverflow から)

非常にセキュリティに敏感なネットワーク(例:バンキング/ファイナンス)からインターネットに(Web)サービスを公開するための標準(または認定ソリューション)はありますか?

私はWS- *またはSSL/TLSの他のトランスポート層セキュリティについて具体的に話しているのではなく、従わなければならない重要な標準または認証について話している。

特定のWebサービスをインターネットに公開するために、ある種の「高セキュリティプロキシ」を提供できる既知の製品(SAP環境からのもの)はありますか?

CIO/CTOがこのテーマについて知っている流行語はありますか?

3
hotzen

AaronSによって与えられた答えはそれの要点に到達しますが(私がそう言うかもしれない場合はむしろ厳しく)、私は安全なソリューションに適用される一般的な原則は徹底的な防御であると思います。つまり、複数のセキュリティ層を使用して、攻撃、侵害、またはデータ漏洩を防止します。

私は 内部的な攻撃/リークの割合 の議論に入るつもりはありませんが、それが何であれ、これも忘れたり無視したりすることはできません。 AaronSの提案に従い、「インターネットへのLANを絶対に開かない」でサーバーをDMZに置くと、従業員はデータベースをメモリスティックにダンプしてドアを開けることができます。

したがって、流行語を探している場合は、ネットワーク保護があることを確認することから始めます(例Firewall侵入検知/防止)を最初に実行し、必要なすべてのパッチとアップデートをソフトウェアとOSに適用します(Hardening )。 ネットワーク分離を使用してアプリケーションを分離し、データフローが厳しく制御されるようにします(DMZは1つの一般的な例ですが、他のネットワークセグメンテーションモデルも機能します)。 Webサービスが安全に開発されており、テストされ、コードがレビューされていることを確認してください。世界最高のファイアウォールとDMZ=でも、アプリケーション自体が脆弱である場合、この保護のほとんどは効果が制限される可能性があります。外部に面するWebサービスはおそらくデータを消費するか、何らかの形で通信するため、内部コンポーネントの場合、同じ方法がそれらにも適用されることを確認してください。AuthenticationおよびAuthorizationはデータへのアクセスを制御するために使用されます。確実なmonitoringlogging配置済み...リストは続きますが、これは、組織のセキュリティ担当者が実行できる適切なセキュリティアーキテクチャ/分析に代わるものではありません。

あなたが尋ねていた「高セキュリティプロキシ」については、アプリケーションレイヤー保護を提供する製品がいくつかあります。Wikipediaの Application Firewall を参照してください。それらを組み合わせて追加することもできますが、セキュリティのためにこれらだけに依存することはありません。

3
Yoav Aner

あなたはそれをしません、特に銀行/金融セクターでは。

企業LANをインターネットに開放しないでください。

サーバーをDMZに配置する必要があります。

2
AaronS