최상의 답변
Bluecoat 프록시는 두 가지 방식으로 작동합니다.
사무실에서 작업하는 경우 연결할 수 있습니다. 조직에서 소유 한 LAN 또는 WIFI를 통해 노트북 또는 PC. 대부분의 경우 조직에서 프록시 SG 서버를 소유 할 수 있습니다. 따라서 인터넷 트래픽이 Proxy SG 서버로 전송 될 수 있습니다.
원격 위치에서 작업하는 경우. 공용 네트워크에 연결 중일 수 있습니다. 공용 네트워크에 연결하는 것은 조직에서 신뢰하지 않습니다. 따라서 조직은 사무실에서 유지되는 웹 보안이 필요합니다. 따라서 Bluecoat Proxy SG가 클라우드에 설치됩니다. 사용자가 원격 위치로 연결을 시도하면 랩톱 또는 PC에 설치된 bluecoat 통합 에이전트-클라이언트가 Edge WebPulse 서비스에 연결됩니다. 먼저 실시간으로 지속적으로 업데이트되는 클라우드의 세 가지 Blue Coat WebFilter 마스터 데이터베이스 중 하나에 대해 확인됩니다.
답변
DMZ에 역방향 프록시를 배치하면 파일 전송 서버를 인터넷 공격에 덜 취약한 내부 네트워크로 이동할 수 있습니다. 여러분이 알지 못하는 역방향 프록시를 사용하면 더 많은 이점이 있습니다.
1. 파일 전송 서버에 대한 단일 액세스 지점을 생성합니다.
방화벽과 역방향 프록시를 올바르게 구성한 한 아무도 귀하의 파일에 직접 액세스 할 수 없습니다. 파일 전송 서버입니다. 모든 사람이 역방향 프록시를 통과해야합니다.이 경우 역방향 프록시를 통해 들어오고 나가는 내용을 모니터링하는 데 집중할 수 있습니다.
2. 액세스 제어 작업 단순화
단일 액세스 지점 만 있기 때문에 해당 단일 지점에 액세스 제어를 집중할 수 있습니다. 예를 들어 모든 단일 서버에 무엇을 지정하는 대신 IP 주소의 연결을 허용해야합니다. 역방향 프록시에 IP 액세스 규칙 세트를 간단히 만들 수 있습니다. 사용자가 승인되지 않은 IP에서 연결을 시도하면 해당 시도가 역방향 프록시에 의해 즉시 종료 될 수 있습니다.
3. 사용자 자격 증명을 더 안전한 장소로 이동
대부분의 사용자 자격 증명은 파일 전송 서버 자체. 따라서 파일 전송 서버가 DMZ에 배치되면 동기가 높은 공격자가 쉽게 해당 서버를 확보 할 수 있습니다. 서버를 내부 네트워크로 이동하고 역방향 프록시를 배포하여 액세스를 제어하면 이러한 자격 증명과 그에 따라 보호하는 데이터에 더 나은 보안을 제공 할 수 있습니다.
4. 민감한 데이터에 대한 위험 감소
우리가 정기적으로 비즈니스 파트너, 고객 및 현장 직원과 공유하는 광범위한 정보를 고려할 때, 해당 정보 중 일부는 대중이 사용하지 않는 것이 확실합니다. 개인 정보, 영업 비밀, 프로토 타입 청사진, 급여 스프레드 시트 또는 재무 데이터가 대중에게 유출되거나 잘못된 손에 들어가는 것을 원하지 않을 것입니다.
하지만 파일 전송 서버가 DMZ에서 하드 드라이브에 저장된 모든 기밀 데이터는 신원 도용자, 기업 스파이, 사기꾼 및 기타 사기꾼을 끌어 들이게됩니다. 이러한 위험을 완화하는 한 가지 방법은 역방향 프록시를 배포하는 것입니다.
역방향 프록시 프록시를 사용하면 DMZ 기반 파일 전송 서버를 공격에 덜 취약한 내부 네트워크로 이동할 수 있습니다.
5. 규정 준수 달성
많은 사실상의 표준과 정부에서 부과하는 규정이 DMZ와 같이 매우 취약한 영역에 데이터를 저장할 수 있습니다. 예를 들어 PCI-DSS (Payment Card Industry-Data Security Standard)에서는 신용 카드 정보를 DMZ와 분리 된 내부 네트워크에 저장하도록 명시 적으로 요구합니다.
하지만 민감한 데이터를 다른 사용자와 공유하려면 어떻게해야합니까? 거래 파트너와 같이 “내부 네트워크에 액세스 할 수없는 조직입니까?
규제 요구 사항 범위 내에있는 한 가지 솔루션은 DMZ에 역방향 프록시를 배치하고 거래 파트너를 허용하는 것입니다. 이를 통해 백엔드 서버에 안전하게 연결합니다. DMZ 스트리밍과 같은 특수한 역방향 프록시 기술을 사용하면 DMZ에 정보를 입력하거나 백엔드 서버에 대한 직접 액세스 권한을 부여하지 않고도 민감한 정보를 외부 파트너와 공유 할 수 있습니다.
6. 자본 및 운영 비용 절감
이 목록의 항목 # 4 및 # 5에서 제기 된 문제를 다시 살펴 보겠습니다. 이러한 문제에 대한 기존 솔루션 중 하나는 두 세트의 서버를 설치하는 것입니다. DMZ의 한 세트는 외부 클라이언트를 제공하고 다른 세트는 내부 클라이언트를 제공합니다.이 솔루션의 단점은 “분명히 매우 비싸고 두 서버 세트를 모두 관리해야하기 때문에 이미 과부하 된 관리자에게 추가적인 부담을 안겨준다는 것입니다.
역방향 프록시를 사용하는 경우 두 세트의 서버를 설정할 필요가 없습니다. 모든 서버는 내부 네트워크에 배치 할 수 있으며 내부 및 외부 클라이언트 모두에 서비스를 제공 할 수 있습니다.
7. 백엔드 서버의 투명한 유지 관리를 허용합니다.
역 프록시 뒤에서 실행되는 서버에 대한 변경 사항은 최종 사용자에게 완전히 투명합니다. 유지 관리, 업그레이드 또는 교체를 위해 보안 파일 전송 서버 중 하나 (클러스터에 속한다고 가정)를 중단하더라도 최종 사용자는이를 인식하지 못합니다.
8. 부하 분산 및 장애 조치 사용
JSCAPE MFT Gateway와 같은 역방향 프록시는 이미 부하 분산 및 장애 조치와 같은 고 가용성 방법을 지원합니다.이를 통해 다운 타임을 제거하고 증가시킬 수 있습니다. 대부분의 경우 일반적으로 클러스터를 설정하고 여기에 파일 전송 서버를 추가합니다. 그런 다음 역방향 프록시는 라운드 로빈, 가중 라운드 로빈, 최소 연결, 가중 최소 연결 또는 임의와 같은로드 밸런싱 알고리즘을 적용합니다. 클러스터의 서버간에 부하를 분산합니다.
서버가 다운되면 시스템이 자동으로 다음 서버로 장애 조치되고 사용자는 안전한 파일 전송 활동을 계속할 수 있습니다.