Najlepsza odpowiedź
Bluecoat Proxy działa na dwa sposoby.
Jeśli pracujesz w biurze, możesz się połączyć Twój laptop lub komputer za pośrednictwem sieci LAN lub WIFI, której właścicielem jest Twoja organizacja. najprawdopodobniej Twoja organizacja może być właścicielem serwera Proxy SG. Więc twój ruch internetowy może być wysyłany do serwera Proxy SG.
Jeśli pracujesz w zdalnej lokalizacji. Być może łączysz się z siecią publiczną. Twoja organizacja nie ufa łączeniu się z siecią publiczną. Organizacja potrzebuje więc zabezpieczeń internetowych, które są utrzymywane w biurze. Tak więc Bluecoat Proxy SG jest zainstalowany w chmurze. Gdy użytkownik próbuje połączyć się zdalnie, zunifikowany agent-klient bluecoat, który jest zainstalowany na Twoim laptopie lub komputerze PC, łączy się z brzegową usługą WebPulse. Która jako pierwsza jest sprawdzana w jednej z trzech głównych baz danych Blue Coat WebFilter Master w chmurze, która jest stale aktualizowana w czasie rzeczywistym.
Odpowiedź
Umieszczając odwrotne proxy w swojej strefie DMZ, możesz przenieść serwery transferu plików do sieci wewnętrznej, gdzie będą mniej podatne na ataki z Internetu. Nadal jest więcej zalet korzystania z odwrotnego proxy, o których możesz nie wiedzieć.
1. Tworzy pojedynczy punkt dostępu do serwerów transferu plików
Dopóki poprawnie skonfigurujesz zaporę i odwrotne proxy, nikt nie powinien mieć bezpośredniego dostępu do żadnego z twoich serwery transferu plików. Każdy musi przejść przez odwrotne proxy. W takim przypadku możesz skoncentrować się na monitorowaniu tego, co wchodzi i wychodzi przez odwrotne proxy.
2. Upraszcza zadania związane z kontrolą dostępu
Ponieważ masz tylko jeden punkt dostępu, możesz skoncentrować kontrolę dostępu na tym pojedynczym punkcie. Na przykład zamiast określać na każdym serwerze, co Adresy IP powinny mieć możliwość łączenia się, możesz po prostu utworzyć zestaw reguł dostępu do adresów IP na odwrotnym serwerze proxy. Jeśli użytkownik spróbuje połączyć się z nieautoryzowanego adresu IP, próba ta może zostać natychmiast zakończona przez odwrotny serwer proxy.
3. Przenosi poświadczenia użytkownika w bezpieczniejsze miejsce
Większość danych logowania jest przechowywana w same serwery transferu plików. Więc jeśli twoje serwery transferu plików są umieszczone w twojej strefie DMZ, wysoce zmotywowany napastnik może łatwo je zdobyć. Przenosząc serwery do sieci wewnętrznej i wdrażając odwrotne proxy w celu kontroli dostępu, możesz zapewnić lepsze bezpieczeństwo tym poświadczeniom, a co za tym idzie, chronionym przez nie danymi.
4. Zmniejsza ryzyko dla danych wrażliwych
Biorąc pod uwagę szeroki zakres informacji, które regularnie udostępniamy partnerom biznesowym, klientom i pracownikom terenowym, jestem prawie pewien, że niektóre z tych informacji nie są przeznaczone do publicznego użytku. „Jestem pewien, że nie chciałbyś, aby dane osobowe, tajemnice handlowe, plany prototypów, arkusze kalkulacyjne listy płac lub dane finansowe wyciekły publicznie lub wpadły w niepowołane ręce.
Ale jeśli twoje serwery transferu plików są w Twojej DMZ, wszystkie te poufne dane przechowywane na ich dyskach twardych będą przyciągać złodziei tożsamości, szpiegów korporacyjnych, oszustów i innych oszustów. Jednym ze sposobów ograniczenia tego ryzyka jest wdrożenie odwrotnego proxy.
Z odwrotnym proxy, zyskasz możliwość przeniesienia serwerów transferu plików opartych na DMZ do sieci wewnętrznej, gdzie będą mniej podatne na ataki.
5. Pomaga osiągnąć zgodność z przepisami
Wiele faktycznych norm i przepisów narzuconych przez rząd nie dotyczy nie pozwalają na przechowywanie danych w szczególnie wrażliwych obszarach, takich jak DMZ. Na przykład PCI-DSS (Branża kart płatniczych – Standard bezpieczeństwa danych) wyraźnie wymaga, aby informacje o karcie kredytowej były przechowywane w sieciach wewnętrznych oddzielonych od strefy DMZ.
Ale co, jeśli chcesz udostępniać poufne dane organizacje, takie jak partnerzy handlowi, którzy nie mają dostępu do Twojej sieci wewnętrznej?
Jednym z rozwiązań, które mieści się w granicach wymogów regulacyjnych, byłoby umieszczenie odwrotnego proxy w Twojej strefie DMZ i zezwolenie partnerom handlowym aby bezpiecznie łączyć się z serwerami zaplecza. Korzystając ze specjalnych technologii odwrotnego proxy, takich jak przesyłanie strumieniowe w DMZ, możesz udostępniać poufne informacje partnerom zewnętrznym nawet bez umieszczania informacji w DMZ lub udzielania bezpośredniego dostępu do serwerów zaplecza.
6. Obniża kapitał i koszty operacyjne
Powróćmy do problemów opisanych w punktach 4 i 5 tej listy. Jednym z tradycyjnych rozwiązań tych problemów jest zainstalowanie dwóch zestawów serwerów Jeden zestaw w DMZ do obsługi klientów zewnętrznych, a drugi zestaw do obsługi klientów wewnętrznych.Wadą tego rozwiązania jest to, że jest oczywiście bardzo drogie, a ponieważ musisz administrować obydwoma zestawami serwerów, stanowi dodatkowe obciążenie dla już przeciążonych administratorów.
Jeśli używasz odwrotnego proxy, nie będzie musiał konfigurować dwóch zestawów serwerów. Wszystkie Twoje serwery mogą być umieszczone w sieci wewnętrznej i mogą obsługiwać zarówno klientów wewnętrznych, jak i zewnętrznych.
7. Umożliwia przejrzystą obsługę serwerów zaplecza
Zmiany wprowadzone na serwerach działających za zwrotnym proxy będą całkowicie niewidoczne dla użytkowników końcowych. Nawet jeśli wyłączysz jeden z bezpiecznych serwerów przesyłania plików (zakładając, że należy on do klastra) w celu konserwacji, aktualizacji lub wymiany, użytkownicy końcowi tego nie zauważą.
8. Umożliwia równoważenie obciążenia i przełączanie awaryjne
Odwrotne serwery proxy, takie jak JSCAPE MFT Gateway, obsługują już metody wysokiej dostępności, takie jak równoważenie obciążenia i przełączanie awaryjne. Pozwoli to wyeliminować przestoje i zwiększyć W większości przypadków wystarczy skonfigurować klaster i dodać do niego serwery przesyłania plików. Zwrotne proxy wymusi następnie algorytm równoważenia obciążenia, taki jak cykl roboczy, cykl ważony, najmniej połączeń, najmniej ważone połączenia lub losowy, rozłożenie obciążenia na serwery w klastrze.
Gdy serwer ulegnie awarii, system automatycznie przejdzie w tryb failover na następny serwer w górę, a użytkownicy będą mogli kontynuować swoje działania związane z bezpiecznym transferem plików.