La mejor respuesta
El proxy Bluecoat funciona de dos formas.
Si está trabajando en la oficina, puede conectarse su computadora portátil o PC a través de LAN o WIFI que posee su organización. lo más probable es que su organización sea propietaria del servidor Proxy SG. Por lo tanto, su tráfico de Internet podría enviarse al servidor Proxy SG.
Si está trabajando en una ubicación remota. Es posible que se esté conectando a una red pública. Su organización no confía en conectarse a una red pública. Por tanto, la organización necesita seguridad web a partir de la cual se mantiene en la oficina. Entonces, un Bluecoat Proxy SG está instalado en la nube. Cuando un usuario intenta conectarse por ubicación remota, el agente-cliente unificado de bluecoat que está instalado en su computadora portátil o PC se conecta al servicio Edge WebPulse. Lo que primero se compara con una de las tres bases de datos maestras de Blue Coat WebFilter en la nube que se actualiza constantemente en tiempo real.
Respuesta
Al colocar un proxy inverso en su DMZ, puede mover sus servidores de transferencia de archivos a su red interna, donde serán menos vulnerables a los ataques de Internet. Aún existen más beneficios de usar un proxy inverso que quizás no conozca.
1. Crea un único punto de acceso a sus servidores de transferencia de archivos
Mientras haya configurado correctamente su firewall y proxy inverso, nadie debería poder obtener acceso directo a ninguno de sus servidores de transferencia de archivos. Todo el mundo tiene que pasar por el proxy inverso. Cuando eso suceda, puede centrarse en la supervisión de lo que entra y sale a través del proxy inverso.
2. Simplifica las tareas de control de acceso
Debido a que solo tiene un punto de acceso único, puede concentrar el control de acceso en ese punto. Por ejemplo, en lugar de especificar en cada servidor Las direcciones IP deben poder conectarse, simplemente puede crear un conjunto de reglas de acceso de IP en su proxy inverso. Si un usuario intenta conectarse desde una IP no autorizada, ese intento puede ser cancelado inmediatamente por el proxy inverso.
3. Mueve las credenciales de usuario a un lugar más seguro
La mayoría de las credenciales de usuario simplemente se almacenan en los propios servidores de transferencia de archivos. Por lo tanto, si sus servidores de transferencia de archivos están ubicados en su DMZ, un atacante muy motivado puede apoderarse de ellos fácilmente. Al mover sus servidores a su red interna e implementar un proxy inverso para controlar el acceso, puede brindar mayor seguridad a esas credenciales y, en consecuencia, a los datos que protegen.
4. Reduce los riesgos de los datos confidenciales
Teniendo en cuenta la amplia gama de información que compartimos regularmente con socios comerciales, clientes y empleados de campo, estoy bastante seguro de que parte de esa información no es para el consumo público. «Estoy seguro de que no querrá que información personal, secretos comerciales, planos prototipo, hojas de cálculo de nómina o datos financieros se filtren al público o caigan en las manos equivocadas.
Pero si sus servidores de transferencia de archivos están en su DMZ, todos esos datos confidenciales almacenados en sus discos duros atraerán a ladrones de identidad, espías corporativos, estafadores y otros delincuentes. Una forma de mitigar ese riesgo es implementar un proxy inverso.
Con un reverso proxy, obtendrá la opción de mover servidores de transferencia de archivos basados en DMZ a su red interna, donde serán menos vulnerables a los ataques.
5. Ayudas lograr el cumplimiento normativo
Una serie de normas de facto y regulaciones impuestas por el gobierno no No permitir el almacenamiento de datos en áreas altamente vulnerables como la DMZ. El PCI-DSS (Payment Card Industry – Data Security Standard), por ejemplo, requiere explícitamente que la información de la tarjeta de crédito se almacene en redes internas separadas de su DMZ.
Pero, ¿qué sucede si desea compartir datos confidenciales con organizaciones, como socios comerciales, que no tienen acceso a su red interna?
Una solución que se encuentra dentro de los límites de los requisitos reglamentarios sería colocar un proxy inverso en su DMZ y permitir que sus socios comerciales para conectarse a sus servidores back-end de forma segura a través de eso. Al utilizar tecnologías especiales de proxy inverso como la transmisión DMZ, puede compartir información confidencial con socios externos incluso sin poner la información en la DMZ o sin otorgar acceso directo a sus servidores back-end.
6. Reduce los gastos operativos y de capital
Repasemos los problemas planteados en los puntos 4 y 5 de esta lista. Una de las soluciones tradicionales a estos problemas es instalar dos conjuntos de servidores Un conjunto en DMZ para atender a clientes externos y otro conjunto para atender a clientes internos.La desventaja de esta solución es que obviamente es muy costosa y, dado que necesita administrar ambos conjuntos de servidores, presenta una carga adicional a sus administradores ya sobrecargados.
Si usa un proxy inverso, no tendrá que configurar dos conjuntos de servidores. Todos sus servidores se pueden colocar en su red interna y pueden servir tanto a sus clientes internos como externos.
7. Permite el mantenimiento transparente de los servidores backend
Los cambios que realice en los servidores que se ejecutan detrás de un proxy inverso serán completamente transparentes para sus usuarios finales. Incluso si desactiva uno de sus servidores de transferencia de archivos seguros (asumiendo que pertenece a un clúster) para mantenimiento, actualización o reemplazo, sus usuarios finales no lo notarán.
8. Permite el equilibrio de carga y la conmutación por error
Los proxies inversos como JSCAPE MFT Gateway ya admiten métodos de alta disponibilidad como el equilibrio de carga y la conmutación por error. Esto le permitirá eliminar el tiempo de inactividad y aumentar productividad. En la mayoría de los casos, normalmente se configuraría un clúster y se le agregarían servidores de transferencia de archivos. El proxy inverso aplicará un algoritmo de equilibrio de carga como round robin, round robin ponderado, conexiones mínimas, conexiones mínimas ponderadas o aleatorio para distribuir la carga entre los servidores del clúster.
Cuando un servidor deja de funcionar, el sistema pasará automáticamente por error al siguiente servidor y los usuarios pueden continuar con sus actividades de transferencia segura de archivos.