[GTER] Política Rede Servidores Firewall

[Douglas Fischer]

Para mim a questão de comunicação entre servidores de Front-End e
Servidores de aplicação sempre foi complexa e polêmica.
E com a facilidade que a virtualização trouxe, essa questão tem ficado cada
vez mais polêmica e mais complicada.


Existem diversos fabricantes de software(Microsoft, Oracle, SAP) que
sugerem que servidores de Front-End existam tanto na Sub-rede DMZ Pública
quanto na Sub-Rede DMZ privada.


Apenas para contextualizar, falamos de um ambiente corporativo.
*DMZ Pública ficam os servidores como:
   - DNS Autoritativos
   - MX
   - Proxy Reverso(Um exemplo de Front-End)
*DMZ Privada
   - Bancos de dados
   - APP-Servers
   - Recursivos internos

Nesse caso, a idéia é que a comunicação entre Front-End e Aplicação
aconteça sempre em L2, sem passar por firewall(teoricamente).


Entendo que esse modelo visa maximizar performance e eliminar eventuais
pontos de falha.
MAAAAAS, confesso que tenho VÁRIOS problemas de aceitação para com essa
metodologia:
- Caso o Servidor Público seja comprometido, o malfeitor terá acesso direto
aos servidores que realmente guardam/manipulam os dados essenciais.
- A implementação de recursos de segurança que validem a camada 7 das
comunicações entre os Front-End e Back-End torna-se uma manobra hercúlea
com redirecionamento de Bridges e Vlans.
- Complexidade extra nas regras de firewall considerando que os FrontEnd
existe em dois lugares diferentes.



Eu pessoalmente sou um cara Old-School e não gosto da idéia de um Servidor
existindo em mais de uma Vlan.


Eu sei que eu já pelejei BASTANTE nessa questão.
 - Se fizer "do jeito deles" e houver uma falha de segurança a culpa é
minha.
 - Se fizer "do meu jeito" e qualquer titiquinha que enroscar a culpa é
inteiramente minha e eles largam tudo e para de trabalhar.

Comprei muitas brigas e alguma eu "domei" e outras eu engoli...



E aí? Quais são os nortes para essa questão?
O que os colegas pensam sobre o assunto?


-- 
Douglas Fernando Fischer
Engº de Controle e Automação