Melhor resposta
O Bluecoat Proxy funciona de duas maneiras.
Se você está trabalhando no escritório, pode se conectar seu laptop ou PC via LAN ou WIFI pertencente à sua organização. muito provavelmente sua organização pode possuir o servidor Proxy SG. Portanto, seu tráfego de Internet pode ser enviado para o servidor Proxy SG.
Se você estiver trabalhando em um local remoto. Você pode estar se conectando a uma rede pública. A conexão a uma rede pública não é confiável para sua organização. Portanto, a organização precisa da segurança da Web a partir da qual é mantida no escritório. Portanto, um Bluecoat Proxy SG é instalado na nuvem. Quando um usuário tenta se conectar por local remoto, o agente-cliente unificado bluecoat que está instalado em seu laptop ou PC se conecta ao serviço WebPulse de borda. Que primeiro é verificado em um dos três bancos de dados mestre do Blue Coat WebFilter na nuvem, que está constantemente sendo atualizado em tempo real.
Resposta
Ao colocar um proxy reverso em seu DMZ, você pode mover seus servidores de transferência de arquivos para sua rede interna, onde ficarão menos vulneráveis a ataques da Internet. Existem ainda mais benefícios de usar um proxy reverso que você pode não estar ciente.
1. Cria um único ponto de acesso aos seus servidores de transferência de arquivos.
Desde que você tenha configurado seu firewall e proxy reverso corretamente, ninguém deve ser capaz de obter acesso direto a qualquer um de seus servidores de transferência de arquivos. Todos precisam passar pelo proxy reverso. Quando isso acontecer, você pode se concentrar no monitoramento do que entra e sai pelo proxy reverso.
2. Simplifica as tarefas de controle de acesso
Porque você só tem um único ponto de acesso, você pode concentrar o controle de acesso naquele único ponto. Por exemplo, em vez de especificar em cada servidor o que Os endereços IP devem ter permissão para se conectar, você pode simplesmente criar um conjunto de regras de acesso IP em seu proxy reverso. Se um usuário tentar se conectar a partir de um IP não autorizado, essa tentativa pode ser encerrada imediatamente pelo proxy reverso.
3. Move as credenciais do usuário para um local mais seguro
A maioria das credenciais do usuário são armazenadas apenas em os próprios servidores de transferência de arquivos. Portanto, se seus servidores de transferência de arquivos forem colocados em seu DMZ, um invasor altamente motivado pode facilmente detê-los. Ao mover seus servidores para sua rede interna e implantar um proxy reverso para controlar o acesso, você pode fornecer melhor segurança para essas credenciais e, consequentemente, para os dados que protegem.
4. Reduz os riscos para dados confidenciais
Considerando a ampla gama de informações que compartilhamos regularmente com parceiros de negócios, clientes e funcionários de campo, tenho certeza de que algumas dessas informações não são para consumo público. I “Tenho certeza de que você não gostaria que informações pessoais, segredos comerciais, projetos de protótipos, planilhas de folha de pagamento ou dados financeiros vazassem para o público ou caíssem em mãos erradas.
Mas se seus servidores de transferência de arquivos estiverem funcionando sua DMZ, todos os dados confidenciais armazenados em seus discos rígidos atrairão ladrões de identidade, espiões corporativos, fraudadores e outros criminosos. Uma maneira de reduzir esse risco é implantar um proxy reverso.
Com um reverso proxy, você terá a opção de mover servidores de transferência de arquivos baseados em DMZ para sua rede interna, onde serão menos vulneráveis a ataques.
5. Ajuda alcançar conformidade regulamentar
Uma série de padrões de fato e regulamentações impostas pelo governo não não permite o armazenamento de dados em áreas altamente vulneráveis como a DMZ. O PCI-DSS (Payment Card Industry – Data Security Standard), por exemplo, exige explicitamente que as informações do cartão de crédito sejam armazenadas em redes internas segregadas de sua DMZ.
Mas e se você quiser compartilhar dados confidenciais com organizações, como parceiros comerciais, que não têm acesso à sua rede interna?
Uma solução que está dentro dos limites dos requisitos regulamentares seria colocar um proxy reverso em sua DMZ e permitir que seus parceiros comerciais para se conectar a seus servidores back-end com segurança por meio disso. Usando tecnologias especiais de proxy reverso, como streaming DMZ, você pode compartilhar informações confidenciais com parceiros externos, mesmo sem colocar as informações na DMZ ou conceder acesso direto aos seus servidores back-end.
6. Reduz as despesas operacionais e de capital
Vamos revisar os problemas levantados nos itens 4 e 5 desta lista. Uma das soluções tradicionais para esses problemas é instalar dois conjuntos de servidores .Um conjunto no DMZ para atender clientes externos e outro conjunto para atender clientes internos.A desvantagem desta solução é que ela é obviamente muito cara e, como você precisa administrar os dois conjuntos de servidores, apresenta uma carga adicional para seus administradores já sobrecarregados.
Se você usar um proxy reverso, você não será necessário configurar dois conjuntos de servidores. Todos os seus servidores podem ser colocados em sua rede interna e podem servir seus clientes internos e externos.
7. Permite a manutenção transparente de servidores de back-end.
As alterações feitas em servidores executados atrás de um proxy reverso serão completamente transparentes para os usuários finais. Mesmo se você desligar um de seus servidores de transferência de arquivos seguros (presumindo que ele pertença a um cluster) para manutenção, atualização ou substituição, seus usuários finais não notarão.
8. Ativa o balanceamento de carga e failover
Proxies reversos como JSCAPE MFT Gateway já oferecem suporte a métodos de alta disponibilidade, como balanceamento de carga e failover. Isso permitirá que você elimine o tempo de inatividade e aumente produtividade. Na maioria dos casos, você normalmente configuraria um cluster e adicionaria servidores de transferência de arquivos a ele. O proxy reverso aplicará um algoritmo de balanceamento de carga, como round robin, round robin ponderado, menos conexões, menos conexões ponderadas ou aleatório, para distribuir a carga entre os servidores no cluster.
Quando um servidor fica inativo, o sistema faz failover automaticamente para o próximo servidor ativo e os usuários podem continuar com suas atividades de transferência segura de arquivos.