Meilleure réponse
Le proxy Bluecoat fonctionne de deux manières.
Si vous travaillez au bureau, vous pouvez vous connecter votre ordinateur portable ou PC via LAN ou WIFI qui appartient à votre organisation. il est fort probable que votre organisation possède le serveur Proxy SG. Ainsi, votre trafic Internet peut être envoyé au serveur Proxy SG.
Si vous travaillez dans un emplacement distant. Vous vous connectez peut-être à un réseau public. La connexion à un réseau public nest pas approuvée par votre organisation. Lorganisation a donc besoin dune sécurité Web à partir de laquelle elle est maintenue au bureau. Ainsi, un Bluecoat Proxy SG est installé dans le Cloud. Lorsquun utilisateur tente de se connecter par un emplacement distant, lagent-client unifié bluecoat qui est installé sur votre ordinateur portable ou PC se connecte au service Edge WebPulse. La première est vérifiée par rapport à lune des trois bases de données Blue Coat WebFilter Master dans le cloud qui est constamment mise à jour en temps réel.
Réponse
En plaçant un proxy inverse dans votre DMZ, vous pouvez déplacer vos serveurs de transfert de fichiers vers votre réseau interne où ils seront moins vulnérables aux attaques dInternet. Il y a encore plus davantages à utiliser un proxy inverse dont vous ne connaissez peut-être pas.
1. Crée un point daccès unique à vos serveurs de transfert de fichiers
Tant que vous « avez configuré correctement votre pare-feu et votre proxy inverse, personne ne devrait pouvoir accéder directement à lun de vos serveurs de transfert de fichiers. Tout le monde doit passer par le proxy inverse. Lorsque cela se produit, vous pouvez concentrer la surveillance sur ce qui entre et sort par le proxy inverse.
2. Simplifie les tâches de contrôle daccès
Comme vous navez quun seul point daccès, vous pouvez concentrer le contrôle daccès sur ce point unique. Par exemple, au lieu de spécifier sur chaque serveur Les adresses IP doivent être autorisées à se connecter, vous pouvez simplement créer un ensemble de règles daccès IP sur votre proxy inverse. Si un utilisateur tente de se connecter à partir dune adresse IP non autorisée, cette tentative peut être immédiatement interrompue par le proxy inverse.
3. Déplace les informations didentification de lutilisateur vers un endroit plus sûr
La plupart des informations didentification de lutilisateur sont simplement stockées sur les serveurs de transfert de fichiers eux-mêmes. Donc, si vos serveurs de transfert de fichiers sont placés sur votre DMZ, un attaquant très motivé peut facilement les mettre la main dessus. En déplaçant vos serveurs dans votre réseau interne et en déployant un proxy inverse pour contrôler laccès, vous pouvez fournir une meilleure sécurité à ces informations didentification et, par conséquent, aux données quils protègent.
4. Réduit les risques pour les données sensibles
Compte tenu du large éventail dinformations que nous partageons régulièrement avec nos partenaires commerciaux, nos clients et nos employés sur le terrain, je suis presque certain que certaines de ces informations ne sont pas destinées au public. I « suis sûr que vous ne voudriez pas que des informations personnelles, des secrets commerciaux, des prototypes de plans, des feuilles de calcul de paie ou des données financières fuient vers le public ou tombent entre de mauvaises mains.
Mais si vos serveurs de transfert de fichiers sont en votre DMZ, toutes ces données confidentielles stockées sur leurs disques durs vont attirer les voleurs didentité, les espions dentreprise, les fraudeurs et autres escrocs. Une façon datténuer ce risque est de déployer un proxy inverse.
Avec un reverse proxy, vous aurez la possibilité de déplacer les serveurs de transfert de fichiers DMZ vers votre réseau interne où ils seront moins vulnérables aux attaques.
5. Aide atteindre la conformité réglementaire
Un certain nombre de normes de facto et de réglementations imposées par le gouvernement n ot permettre le stockage de données dans des zones très vulnérables comme la DMZ. La norme PCI-DSS (Payment Card Industry – Data Security Standard), par exemple, exige explicitement que les informations de carte de crédit soient stockées dans des réseaux internes séparés de votre DMZ.
Mais que se passe-t-il si vous souhaitez partager des données sensibles avec des organisations, telles que des partenaires commerciaux, qui n’ont pas accès à votre réseau interne?
Une solution conforme aux exigences réglementaires serait de placer un proxy inverse dans votre DMZ et d’autoriser vos partenaires commerciaux pour vous connecter à vos serveurs back-end en toute sécurité grâce à cela. En utilisant des technologies de proxy inverse spéciales telles que le streaming DMZ, vous pouvez partager des informations sensibles avec des partenaires externes, même sans placer les informations sur la DMZ ni accorder un accès direct à vos serveurs principaux.
6. Réduit les dépenses en capital et les dépenses opérationnelles
Revenons sur les problèmes soulevés aux points 4 et 5 de cette liste. Lune des solutions traditionnelles à ces problèmes consiste à installer deux ensembles de serveurs Un ensemble sur la DMZ pour répondre aux clients externes et un autre ensemble pour répondre aux clients internes.Linconvénient de cette solution est quelle est évidemment très coûteuse et, puisque vous devez administrer les deux ensembles de serveurs, elle introduit une charge supplémentaire pour vos administrateurs déjà surchargés.
Si vous utilisez un proxy inverse, vous vous naurez pas à configurer deux ensembles de serveurs. Tous vos serveurs peuvent être placés dans votre réseau interne et ils peuvent servir à la fois vos clients internes et externes.
7. Permet une maintenance transparente des serveurs backend
Les modifications que vous apportez aux serveurs exécutés derrière un proxy inverse seront totalement transparentes pour vos utilisateurs finaux. Même si vous supprimez lun de vos serveurs de transfert de fichiers sécurisés (en supposant quil appartient à un cluster) pour maintenance, mise à niveau ou remplacement, vos utilisateurs finaux ne le remarqueront pas.
8. Active léquilibrage de charge et le basculement
Les proxys inverses tels que JSCAPE MFT Gateway prennent déjà en charge des méthodes de haute disponibilité telles que léquilibrage de charge et le basculement. Cela vous permettra déliminer les temps darrêt et daugmenter productivité. Dans la plupart des cas, vous configurez généralement un cluster et y ajoutez des serveurs de transfert de fichiers. Le proxy inverse applique alors un algorithme déquilibrage de charge tel que le tourniquet, le tourniquet pondéré, le moins de connexions, le moins de connexions pondérées ou aléatoire, pour répartir la charge entre les serveurs du cluster.
Lorsquun serveur tombe en panne, le système bascule automatiquement vers le serveur suivant et les utilisateurs peuvent continuer leurs activités de transfert de fichiers sécurisé.