web-dev-qa-db-ja.com

要塞ホストを使用するかどうかについてどう思いますか

Webに面したインフラストラクチャの新しいネットワークレイアウトを検討しています。要塞ホストを使用するかどうかについてのあなたの考えに興味があります。今日の技術では必要ですか?現在、次の構成があります。

インターネット--->ファイアウォール---> Cisco ASA --->ファイアウォール---> Webサイト(SSLベースのLinux)。

要塞ホストは構成を複雑にするだけでしょうか、それとも私たちがまだ持っていない何かを本当に提供してくれるのでしょうか?

ありがとう!

securityfirewallids
4
Rick

トリプルファイアウォール/ IPSレイヤーは、さまざまなデバイスに互いに素な機能セットがない限り、私にはあまり意味がありません。 2つのデバイスの「間に」コードや悪意のあるアクティビティの機会がなく、実際に連続して接続されているだけの場合は、莫大なお金の無駄のように思われます。

より伝統的なアーキテクチャは次のようになります。

インターネット->ファイアウォール/ IDS->ウェブサーバー層->アプリサーバー層->(オプションのファイアウォール/ IPS)->データベース

アプリサーバー層とデータベースの間のオプションのファイアウォールは、実際にはそれほど有用ではありませんが、PCIやその他の規制によって必要とされています。データベースサーバー上の単純なアクセス制御またはソフトウェアファイアウォールは、専用の個別のファイアウォールよりも、ほとんどの環境で私にとってより理にかなっています。

より複雑ですが、潜在的に有用なセットアップは、Web /プロキシの「要塞ホスト」層を使用することです。

インターネット->ファイアウォール/ IDS->ウェブ/プロキシサーバー->ファイアウォール/ IDS->アプリケーションサーバー->(オプションのファイアウォール/ IPS)->データベース。

私の意見では、上記の設定は、要塞ホスト間のファイアウォール/ IDSが単純なステートフルパケットフィルタリング以上のことを実行できる場合にのみ意味があります。そのファイアウォール/ IDS内のIDS機能がHTTPパケットの内部を調べ、Web /プロキシ層とアプリケーションサーバー層の間で定義された一連の動作のみを許可する場合、それは価値があるかもしれません。

ファイアウォール/ IDS層はいずれも、宛先ホストで実行されるソフトウェアファイアウォールとして実装できることに注意してください。これにより、ネットワークが大幅に簡素化され、ハードウェアセキュリティソリューションよりも拡張性が向上します。すべてのトラフィックを監視するための集中型の「チョークポイント」をあきらめますが、それは多くの場合、スケールアップするための要件です。 FacebookやGoogleがすべてのトラフィックをファイアウォール層に通しているとは思えません。セキュリティ機能はその規模で分散する必要があります。

3
rmalayter

中規模/大規模ネットワークでは、サーバーが強化された境界ネットワーク(要塞ホストの新しい用語)がよく見られます。小規模なネットワークでは、それはもはやあまり一般的ではありません(あったとしても)。仮想化により特殊なVMを簡単にセットアップできるため、単一のタスクをサーバーに割り当て、それを他のすべてに対して強化するというアイデアは、中規模のネットワークで人気を取り戻しています。

これらの設定が最も一般的であることがわかりました。
小規模ネットワーク
インターネット--->ファイアウォール/ルーター--->内部ネットワーク(サーバーとクライアントを含む)

中規模ネットワーク
インターネット--->境界ファイアウォール--->境界ネットワーク(インターネットにアクセス可能なサーバー)--->内部ファイアウォール--->内部ネットワーク(サーバーとクライアントを含む)

高セキュリティネットワーク
インターネット--->境界ファイアウォール--->境界ネットワーク(インターネットにアクセス可能なサーバー)
境界ネットワーク--->サーバーファイアウォール--->サーバーネットワーク
境界ネットワーク--->クライアントファイアウォール--->クライアントネットワーク

もちろん、すべてのネットワークはあちこちで少し異なります。しかし、それらは私が最も一般的に見るテーマです。通常、ファイアウォールには、通常のフィルタリングなどに加えてIDS/IDPが組み込まれています。

2
Chris S

要塞ホストの機能は、今日のファイアウォールでは少し薄められていると思います。ネットワーク内の何かが「絶え間ない攻撃に耐える」場合、それはおそらくインターネットフロントのファイアウォールです。

また、さまざまなサイズのネットワークでセキュリティを整理する方法についてのChrisSの見解にも同意します。

また、ファイアウォールを3つ使用する場合は、異なるベンダーを使用することをお勧めします。同じファイアウォールを使用していて、誰かが前述のハードウェア/ fwシステムの脆弱性を悪用すると、すべてのファイアウォールが失われるためです。

2
coredump

ここ数年、要塞ホストが一般的に使用されているのを見たことがありません。私はすべての推論についていくわけではありませんが、あなたがそれをしないことに決めたなら、あなたは良い仲間になるでしょう。しかし、人々がもはやそれをしない理由は、単に経済的であり、実際のまたは知覚されたセキュリティとはまったく関係がない可能性があります...

1
Brian Knoblauch