Beste antwoord
Bluecoat Proxy werkt op twee manieren.
Als u op kantoor werkt, kunt u verbinding maken uw laptop of pc via LAN of WIFI die eigendom is van uw organisatie. hoogstwaarschijnlijk bezit uw organisatie de Proxy SG-server. Uw internetverkeer kan dus naar de Proxy SG-server worden gestuurd.
Als u op een externe locatie werkt. Mogelijk maakt u verbinding met een openbaar netwerk. Verbinding maken met een openbaar netwerk wordt niet vertrouwd door uw organisatie. De organisatie heeft dus webbeveiliging nodig die op kantoor wordt onderhouden. Dus een Bluecoat Proxy SG is geïnstalleerd in Cloud. Wanneer een gebruiker verbinding probeert te maken via een externe locatie, maakt de bluecoat unified agent-client die op uw laptop of pc is geïnstalleerd verbinding met de edge WebPulse-service. Die eerst wordt vergeleken met een van de drie Blue Coat WebFilter Master Databases in de cloud die voortdurend in realtime wordt bijgewerkt.
Antwoord
Door een reverse proxy in uw DMZ te plaatsen, u kunt uw servers voor bestandsoverdracht naar uw interne netwerk verplaatsen, waar ze minder kwetsbaar zijn voor aanvallen vanaf internet. Er zijn nog meer voordelen van het gebruik van een omgekeerde proxy waarvan u zich misschien niet bewust bent.
1. Creëert een enkel toegangspunt tot uw servers voor bestandsoverdracht
Zolang u uw firewall en reverse proxy correct heeft geconfigureerd, mag niemand directe toegang kunnen krijgen tot uw servers voor bestandsoverdracht. Iedereen moet de omgekeerde proxy passeren. Wanneer dat gebeurt, kunt u zich concentreren op wat er binnenkomt en uitgaat via de omgekeerde proxy.
2. Vereenvoudigt toegangscontroletaken
Omdat u slechts één toegangspunt heeft, kunt u de toegangscontrole concentreren op dat ene punt. In plaats van op elke afzonderlijke server te specificeren wat IP-adressen moeten verbinding kunnen maken, u kunt eenvoudig een set IP-toegangsregels maken op uw reverse proxy. Als een gebruiker probeert verbinding te maken vanaf een ongeautoriseerd IP-adres, kan die poging onmiddellijk worden beëindigd door de reverse proxy.
3. Verplaatst gebruikersreferenties naar een veiligere plaats
De meeste gebruikersreferenties worden zojuist opgeslagen op de servers voor bestandsoverdracht zelf. Dus als uw servers voor bestandsoverdracht op uw DMZ staan, kan een zeer gemotiveerde aanvaller ze gemakkelijk te pakken krijgen. Door uw servers naar uw interne netwerk te verplaatsen en een reverse proxy in te zetten om de toegang te controleren, kunt u een betere beveiliging bieden voor die inloggegevens en bijgevolg voor de gegevens die ze beschermen.
4. Vermindert risicos voor gevoelige gegevens
Gezien het brede scala aan informatie dat we regelmatig delen met zakenpartners, klanten en buitendienstmedewerkers, ben ik er vrij zeker van dat sommige van die informatie niet voor openbare consumptie bestemd is. “Ik weet zeker dat u niet wilt dat persoonlijke informatie, handelsgeheimen, prototype-blauwdrukken, loonlijstspreadsheets of financiële gegevens naar het publiek lekken of in verkeerde handen vallen.
Maar als uw servers voor bestandsoverdracht in uw DMZ, zullen al die vertrouwelijke gegevens die zijn opgeslagen op hun harde schijven identiteitsdieven, bedrijfsspionnen, fraudeurs en andere oplichters aantrekken. Een manier om dat risico te verkleinen, is door een omgekeerde proxy in te zetten.
Met een omgekeerde proxy, krijgt u de mogelijkheid om DMZ-gebaseerde servers voor bestandsoverdracht naar uw interne netwerk te verplaatsen, waar ze minder kwetsbaar zijn voor aanvallen.
5. Helpt naleving van de regelgeving bereiken
Een aantal de facto standaarden en door de overheid opgelegde voorschriften doen n iet opslag van gegevens in zeer kwetsbare gebieden zoals de DMZ. De PCI-DSS (Payment Card Industry – Data Security Standard) vereist bijvoorbeeld expliciet dat creditcardgegevens worden opgeslagen in interne netwerken die zijn gescheiden van uw DMZ.
Maar wat als u gevoelige gegevens wilt delen met organisaties, zoals handelspartners, die geen toegang hebben tot uw interne netwerk?
Een oplossing die binnen de grenzen van de wettelijke vereisten valt, zou zijn om een omgekeerde proxy in uw DMZ te plaatsen en uw handelspartners om daardoor veilig verbinding te maken met uw back-endservers. Door speciale reverse proxy-technologieën zoals DMZ-streaming te gebruiken, kunt u gevoelige informatie delen met externe partners, zelfs zonder de informatie op de DMZ te zetten of zonder directe toegang te verlenen tot uw back-endservers.
6. Vermindert kapitaal- en operationele kosten
Laten we de problemen die in de punten 4 en 5 van deze lijst worden genoemd nog eens bekijken. Een van de traditionele oplossingen voor deze problemen is het installeren van twee sets servers Een set op de DMZ om tegemoet te komen aan externe klanten en een andere set om tegemoet te komen aan interne klanten.Het nadeel van deze oplossing is dat het duidelijk erg duur is en aangezien u beide sets servers moet beheren, brengt het extra belasting met zich mee voor uw toch al overbelaste beheerders.
Als u een omgekeerde proxy gebruikt, hoeft niet twee sets servers op te zetten. Al uw servers kunnen in uw interne netwerk worden geplaatst en ze kunnen zowel uw interne als externe klanten bedienen.
7. Maakt transparant onderhoud van back-endservers mogelijk
Wijzigingen die u aanbrengt in servers die achter een reverse proxy draaien, zullen volledig transparant zijn voor uw eindgebruikers. Zelfs als u een van uw beveiligde servers voor bestandsoverdracht uitschakelt (ervan uitgaande dat deze tot een cluster behoort) voor onderhoud, upgrade of vervanging, zullen uw eindgebruikers het niet merken.
8. Maakt taakverdeling en failover mogelijk
Reverse proxys zoals JSCAPE MFT Gateway ondersteunen al methoden voor hoge beschikbaarheid, zoals taakverdeling en failover. Hiermee kunt u downtime elimineren en verhogen productiviteit. In de meeste gevallen zou u doorgaans een cluster opzetten en er servers voor bestandsoverdracht aan toevoegen. De reverse proxy dwingt vervolgens een load balancing-algoritme af, zoals round robin, gewogen round robin, minste verbindingen, gewogen minste verbindingen of willekeurig, om verdeel de belasting over de servers in het cluster.
Wanneer een server uitvalt, schakelt het systeem automatisch over naar de volgende server en kunnen gebruikers doorgaan met hun beveiligde bestandsoverdrachtactiviteiten.