Legjobb válasz
A Bluecoat Proxy kétféleképpen működik.
Ha az irodában dolgozik, kapcsolatba léphet laptopját vagy számítógépét LAN-on vagy WIFI-n keresztül, amelyet a szervezete birtokol. valószínűleg a szervezete birtokolja a Proxy SG szervert. Tehát az internetes forgalmát elküldhetjük a Proxy SG szerverre.
Ha távoli helyen dolgozik. Lehet, hogy nyilvános hálózathoz csatlakozik. A nyilvános hálózathoz való csatlakozást a szervezete nem bízza. Tehát a szervezetnek webbiztonságra van szüksége, amelyet az irodában tartanak fenn. Tehát a Bluecoat Proxy SG telepítve van a Cloud-ba. Amikor egy felhasználó távoli helyszínen próbál csatlakozni, akkor a laptopra vagy a számítógépre telepített bluecoat egységes ügynök-kliens csatlakozik az él WebPulse szolgáltatáshoz. Amit először a valós időben, folyamatosan frissülő felhőben lévő három Blue Coat WebFilter Master Database egyikével ellenőriznek.
Válasz
Fordított proxy elhelyezésével a DMZ-be, áthelyezheti a fájlátviteli szervereket a belső hálózatába, ahol kevésbé lesznek kiszolgáltatva az internet támadásainak. Még mindig több előnye van a fordított proxy használatának, amelyről esetleg nem is tud.
1. Egyetlen hozzáférési pontot hoz létre a fájlátviteli kiszolgálókhoz
Amíg a tűzfalat és a fordított proxyt helyesen konfigurálta, senki sem kaphat közvetlen hozzáférést egyikhez sem fájlátviteli szerverek. Mindenkinek át kell mennie a fordított proxy-n. Amikor ez megtörténik, akkor figyelemmel kísérheti a fordított proxy segítségével be- és kimenő elemeket.
2. Egyszerűsíti a hozzáférés-vezérlési feladatokat
Mivel csak egyetlen hozzáférési pontja van, a hozzáférés-vezérlést erre az egyetlen pontra koncentrálhatja. Például ahelyett, hogy minden egyes szerveren megadná, hogy mi Engedélyezni kell az IP-címek csatlakozását, egyszerűen létrehozhat egy IP-hozzáférési szabálykészletet a fordított proxyn. Ha egy felhasználó jogosulatlan IP-ről próbál csatlakozni, akkor ezt a kísérletet a fordított proxy azonnal megszüntetheti.
3. A felhasználói hitelesítő adatokat biztonságosabb helyre helyezi
A legtöbb felhasználói hitelesítő adatot csak a maguk a fájlátviteli szerverek. Tehát, ha a fájlátviteli kiszolgálókat a DMZ-re helyezzük, egy erősen motivált támadó könnyen megszerezheti őket. Ha szervereit áthelyezi a belső hálózatába, és egy fordított proxyt telepít a hozzáférés ellenőrzésére, nagyobb biztonságot nyújthat ezeknek a hitelesítő adatoknak és következésképpen az általuk védett adatoknak.
4. Csökkenti az érzékeny adatok kockázatát
Figyelembe véve az üzleti partnerekkel, az ügyfelekkel és a helyi alkalmazottakkal rendszeresen megosztott információk széles skáláját, biztos vagyok abban, hogy ezen információk egy része nem nyilvános fogyasztásra szolgál. I “Biztosan nem akarja, hogy személyes adatok, üzleti titkok, tervrajzok, bérszámfejtő táblázatok vagy pénzügyi adatok kiszivárogjanak a nyilvánosság elől, vagy rossz kezekbe kerüljenek.
De ha a fájlátviteli szerverek vannak DMZ-je, a merevlemezén tárolt összes bizalmas adat vonzza a személyazonosság-tolvajokat, vállalati kémeket, csalókat és más szélhámosokat. A kockázat csökkentésének egyik módja a fordított proxy telepítése.
Fordított proxy, akkor megkapja a lehetőséget, hogy a DMZ-alapú fájlátviteli szervereket áthelyezze a belső hálózatára, ahol kevésbé lesznek kiszolgáltatva a támadásoknak.
5. Segít a jogszabályi megfelelés elérése
Számos de facto szabvány és a kormány által előírt szabályozás nem lehetővé teszik az adatok tárolását olyan rendkívül sérülékeny területeken, mint a DMZ. A PCI-DSS (Payment Card Industry – Data Security Standard) például kifejezetten előírja, hogy a hitelkártya-információkat a DMZ-től elkülönített belső hálózatokban kell tárolni.
De mi van akkor, ha bizalmas adatokat szeretne megosztani szervezetek, például kereskedelmi partnerek, akik nem férnek hozzá a belső hálózathoz?
Az egyik megoldás, amely a szabályozási követelmények keretein belül van, az lenne, ha fordított proxyt helyeznének a DMZ-be, és lehetővé tennék kereskedelmi partnereinek hogy ezen keresztül biztonságosan csatlakozzon a háttérszerverekhez. Speciális fordított proxy technológiák – például a DMZ streaming – segítségével megoszthatja a bizalmas információkat külső partnerekkel anélkül, hogy az információkat feltenné a DMZ-be, vagy közvetlen hozzáférést biztosítana a háttérszervereihez.
6. Csökkenti a tőke- és működési költségeket
Vizsgáljuk meg újra a lista 4. és 5. pontjában felvetett problémákat. E problémák egyik hagyományos megoldása két szerverkészlet telepítése. Az egyik készlet a DMZ-n külső ügyfelek kiszolgálására, egy másik készlet pedig a belső ügyfelek kiszolgálására.Ennek a megoldásnak az a hátránya, hogy nyilvánvalóan nagyon drága, és mivel mindkét kiszolgálókészletet adminisztrálnia kell, további terheket ró a már túlterhelt rendszergazdákra.
Ha fordított proxyt használ, akkor nem kell két szerverkészletet felállítanunk. Minden szerver elhelyezhető a belső hálózatában, és kiszolgálhatják mind a belső, mind a külső ügyfeleket.
7. Lehetővé teszi a háttérszerverek átlátszó karbantartását.
A fordított proxy mögött futó szervereken végrehajtott változtatások teljesen átláthatóak lesznek a végfelhasználók számára. Még akkor is, ha karbantartás, frissítés vagy csere céljából bontja valamelyik biztonságos fájlátviteli szerverét (feltételezve, hogy egy fürthöz tartozik), a végfelhasználók nem veszik észre.
8. Engedélyezi a terheléselosztást és a feladatátvételt
Az olyan fordított proxyk, mint a JSCAPE MFT Gateway, már támogatják a magas rendelkezésre állású módszereket, például a terheléselosztást és a feladatátvételt. Ez lehetővé teszi az állásidők kiküszöbölését és a növekedést termelékenység. A legtöbb esetben általában létrehoz egy fürtöt, és hozzáfűzi a fájlátviteli kiszolgálókat. A fordított proxy akkor végrehajt egy olyan terheléselosztó algoritmust, mint a körméret, a súlyozott körméret, a legkevesebb kapcsolat, a legkevesebb súlyozott kapcsolat vagy a véletlenszerű. ossza el a terhelést a fürt kiszolgálói között.
Amikor egy szerver leáll, a rendszer automatikusan átáll a következő kiszolgálóra, és a felhasználók folytathatják a biztonságos fájlátviteli tevékenységeket.