web-dev-qa-db-ja.com

安全な方法でWebサービスを公開する

要件

外部通信用にDMZ=で公開する必要があるWebサービスがあります。このWebサービスは、内部ネット上にある重要なデータベースと直接通信します。

現在の解決策

これは現在、DMZにサービスを公開することで解決され、エンドポイントは証明書を使用して保護され、httpsを使用します。リクエストが受信されると、サービスはメモリ内のキュー構造に配置されます。次に、内部サービスは、外部キューでメッセージを検索する発信TCPチャネルを開いたままにし、外部サービスが現在開いている発信TCPを使用して内部データベースにメッセージを送信することを確認します。これは、内部サービスからの発信のみで、着信トラフィックのためにファイアウォールを開く必要がないため、より安全です。

最適なソリューションは何ですか?

しかし、私の質問はそれがより安全であるかどうか、そしてなぜですか? DMZのサーバーのみからの着信トラフィックを制限し、基本的に同じくらい安全にするようにファイアウォールだけを構成することはできませんか?

このようなシナリオのデファクトソリューションは何ですか?

3
Riri

通常、危険なゾーン(WAN)がゲートウェイに到達し、そのゲートウェイがトラフィックをDMZに転送するEdgeゲートウェイを使用してソリューションを構築します。これは、物理的なハードウェアソリューションで最もよく達成されます。

これを行う方法はいくつかありますが、私の推奨する方法は、DMZの外部にある専用のEdgeゲートウェイを用意し、それをDMZにVPNすることです。 DMZ内のVPNエンドポイントは、通過するトラフィックを制限するように構成できます。Edgeゲートウェイは、本質的に透過プロキシとして機能し、DMZ内のターゲットサーバーにリクエストを渡します。これを実現できますほとんどの負荷分散製品で、専用アプライアンスまたは仮想化ソリューションとして。

これには次の利点があります。

  • WANに面するデバイスはDMZの外部にあります。
  • DMZに出入りするすべてのものは暗号化され、認証され、整合性がチェックされます。
  • EdgeゲートウェイはインラインNIDS/NIPSとステートフルファイアウォールを提供できるため、DMZに入る前に不正なトラフィックをブロックできます。
  • Edgeゲートウェイのファイアウォールと転送ルール、VPNエンドポイントのセキュリティ設定、Webサービスボックスのファイアウォールなど、ネットワークセキュリティ制御の複数のレイヤーがあります。
  • ネットワークの複数のレイヤーで、アウトバウンド接続を検出してブロックできます(リバースシェルを軽減するためなど)。
  • ゲートウェイが侵害されても、攻撃者はVPNが許可する範囲に制限されるため、DMZ内の特権的な位置にすぐに配置されるわけではありません。
2
Polynomial