ベストアンサー
Bluecoatプロキシは2つの方法で機能します。
オフィスで作業している場合は、接続できます組織が所有するLANまたはWIFI経由のラップトップまたはPC。ほとんどの場合、組織がProxySGサーバーを所有している可能性があります。そのため、インターネットトラフィックがプロキシSGサーバーに送信される可能性があります。
遠隔地で作業している場合。パブリックネットワークに接続している可能性があります。パブリックネットワークへの接続は、組織によって信頼されていません。そのため、組織にはWebセキュリティが必要であり、その時点でオフィスで管理されています。そのため、Bluecoat ProxySGがクラウドにインストールされます。ユーザーがリモートロケーションで接続しようとすると、ラップトップまたはPCにインストールされているbluecoat統合エージェントクライアントがエッジWebPulseサービスに接続します。これは、リアルタイムで絶えず更新されているクラウド内の3つのBlue CoatWebFilterマスターデータベースの1つに対して最初にチェックされます。
回答
DMZにリバースプロキシを配置することにより、ファイル転送サーバーを内部ネットワークに移動して、インターネットからの攻撃に対する脆弱性を減らすことができます。知らないかもしれないリバースプロキシを使用することには、さらに多くの利点があります。
1。ファイル転送サーバーへの単一のアクセスポイントを作成します
ファイアウォールとリバースプロキシを正しく構成している限り、誰もあなたのファイルに直接アクセスすることはできません。ファイル転送サーバー。全員がリバースプロキシを通過する必要があります。その場合、リバースプロキシを介して出入りするものを監視することに集中できます。
2。アクセス制御タスクを簡素化します
アクセスポイントは1つしかないため、アクセス制御をその1つのポイントに集中させることができます。たとえば、すべてのサーバーで何を指定するのではなく、 IPアドレスの接続を許可する必要があります。リバースプロキシで一連のIPアクセスルールを作成するだけです。ユーザーが無許可のIPから接続しようとすると、その試みはリバースプロキシによってすぐに終了できます。
3。ユーザーの資格情報をより安全な場所に移動します
ほとんどのユーザーの資格情報は次の場所に保存されますファイル転送サーバー自体。したがって、ファイル転送サーバーがDMZに配置されている場合、意欲的な攻撃者がそれらを簡単に入手する可能性があります。サーバーを内部ネットワークに移動し、リバースプロキシを展開してアクセスを制御することで、これらの資格情報、ひいてはサーバーが保護するデータのセキュリティを強化できます。
4。機密データへのリスクを軽減します
ビジネスパートナー、顧客、現場の従業員と定期的に共有する幅広い情報を考慮すると、その情報の一部は一般向けではないと確信しています。I 「個人情報、企業秘密、プロトタイプの青写真、給与スプレッドシート、財務データが一般に漏洩したり、悪意のある人の手に渡ったりすることは絶対に避けてください。
ただし、ファイル転送サーバーがDMZでは、ハードドライブに保存されているすべての機密データが、ID泥棒、企業スパイ、詐欺師、その他の詐欺師を引き付けます。このリスクを軽減する1つの方法は、リバースプロキシを導入することです。
リバースプロキシを使用すると、DMZベースのファイル転送サーバーを内部ネットワークに移動して攻撃に対する脆弱性を減らすことができます。
5。ヘルプ規制への準拠を達成する
多くの事実上の基準と政府が課す規制はDMZのような非常に脆弱な領域にデータを保存できるようにします。たとえば、PCI-DSS(Payment Card Industry-Data Security Standard)では、クレジットカード情報をDMZから分離された内部ネットワークに保存する必要があります。
ただし、機密データをと共有する場合はどうでしょうか。内部ネットワークにアクセスできないトレーディングパートナなどの組織?
規制要件の範囲内にある1つのソリューションは、DMZにリバースプロキシを配置し、トレーディングパートナを許可することです。それを介してバックエンドサーバーに安全に接続します。 DMZストリーミングなどの特別なリバースプロキシテクノロジーを使用すると、DMZに情報を配置したり、バックエンドサーバーへの直接アクセスを許可したりしなくても、機密情報を外部パートナーと共有できます。
6。資本コストと運用コストを削減します
このリストの項目#4と#5で発生した問題を再検討しましょう。これらの問題に対する従来の解決策の1つは、2セットのサーバーをインストールすることです。 。外部クライアントに対応するためのDMZ上の1つのセットと、内部クライアントに対応するための別のセット。このソリューションの欠点は、明らかに非常に高価であり、両方のサーバーセットを管理する必要があるため、すでに過負荷になっている管理者に追加の負担がかかることです。
リバースプロキシを使用する場合は、 2セットのサーバーをセットアップする必要はありません。すべてのサーバーを内部ネットワークに配置して、内部クライアントと外部クライアントの両方にサービスを提供できます。
7。バックエンドサーバーの透過的なメンテナンスを可能にします
リバースプロキシの背後で実行されているサーバーに加えた変更は、エンドユーザーに対して完全に透過的になります。メンテナンス、アップグレード、または交換のために安全なファイル転送サーバーの1つ(クラスターに属していると想定)を停止しても、エンドユーザーはそれに気付かないでしょう。
8。負荷分散とフェイルオーバーを有効にする
JSCAPE MFTゲートウェイなどのリバースプロキシは、負荷分散やフェイルオーバーなどの高可用性メソッドをすでにサポートしています。これにより、ダウンタイムを排除して増加させることができます。ほとんどの場合、クラスターをセットアップし、それにファイル転送サーバーを追加します。リバースプロキシは、ラウンドロビン、加重ラウンドロビン、最小接続、加重最小接続、ランダムなどの負荷分散アルゴリズムを適用します。クラスタ内のサーバー間で負荷を分散します。
サーバーがダウンすると、システムは自動的に次のサーバーにフェイルオーバーし、ユーザーは安全なファイル転送アクティビティを続行できます。