安全な方法でWebサービスを公開する
要件
外部通信用にDMZ=で公開する必要があるWebサービスがあります。このWebサービスは、内部ネット上にある重要なデータベースと直接通信します。
現在の解決策
これは現在、DMZにサービスを公開することで解決され、エンドポイントは証明書を使用して保護され、httpsを使用します。リクエストが受信されると、サービスはメモリ内のキュー構造に配置されます。次に、内部サービスは、外部キューでメッセージを検索する発信TCPチャネルを開いたままにし、外部サービスが現在開いている発信TCPを使用して内部データベースにメッセージを送信することを確認します。これは、内部サービスからの発信のみで、着信トラフィックのためにファイアウォールを開く必要がないため、より安全です。
最適なソリューションは何ですか?
しかし、私の質問はそれがより安全であるかどうか、そしてなぜですか? DMZのサーバーのみからの着信トラフィックを制限し、基本的に同じくらい安全にするようにファイアウォールだけを構成することはできませんか?
このようなシナリオのデファクトソリューションは何ですか?
通常、危険なゾーン(WAN)がゲートウェイに到達し、そのゲートウェイがトラフィックをDMZに転送するEdgeゲートウェイを使用してソリューションを構築します。これは、物理的なハードウェアソリューションで最もよく達成されます。
これを行う方法はいくつかありますが、私の推奨する方法は、DMZの外部にある専用のEdgeゲートウェイを用意し、それをDMZにVPNすることです。 DMZ内のVPNエンドポイントは、通過するトラフィックを制限するように構成できます。Edgeゲートウェイは、本質的に透過プロキシとして機能し、DMZ内のターゲットサーバーにリクエストを渡します。これを実現できますほとんどの負荷分散製品で、専用アプライアンスまたは仮想化ソリューションとして。
これには次の利点があります。
- WANに面するデバイスはDMZの外部にあります。
- DMZに出入りするすべてのものは暗号化され、認証され、整合性がチェックされます。
- EdgeゲートウェイはインラインNIDS/NIPSとステートフルファイアウォールを提供できるため、DMZに入る前に不正なトラフィックをブロックできます。
- Edgeゲートウェイのファイアウォールと転送ルール、VPNエンドポイントのセキュリティ設定、Webサービスボックスのファイアウォールなど、ネットワークセキュリティ制御の複数のレイヤーがあります。
- ネットワークの複数のレイヤーで、アウトバウンド接続を検出してブロックできます(リバースシェルを軽減するためなど)。
- ゲートウェイが侵害されても、攻撃者はVPNが許可する範囲に制限されるため、DMZ内の特権的な位置にすぐに配置されるわけではありません。