[GTER] Política Rede Servidores Firewall

Fernando Frediani fhfrediani at gmail.com
Wed Mar 16 23:40:05 -03 2016 

Douglas, sem dúvida nenhum e sem titubear os servidores Front-end vão em
uma Vlan DMZ e os servidores Back-end em uma Vlan Privada (privada no
sentido de sem incomming access) ou seja atravessando sim o firewall.

Pra mim essa é questão quase que "no brainer" no cenário que você descreveu.

Abraços
Fernando Frediani

2016-03-16 15:23 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Para mim a questão de comunicação entre servidores de Front-End e
> Servidores de aplicação sempre foi complexa e polêmica.
> E com a facilidade que a virtualização trouxe, essa questão tem ficado cada
> vez mais polêmica e mais complicada.
>
>
> Existem diversos fabricantes de software(Microsoft, Oracle, SAP) que
> sugerem que servidores de Front-End existam tanto na Sub-rede DMZ Pública
> quanto na Sub-Rede DMZ privada.
>
>
> Apenas para contextualizar, falamos de um ambiente corporativo.
> *DMZ Pública ficam os servidores como:
>    - DNS Autoritativos
>    - MX
>    - Proxy Reverso(Um exemplo de Front-End)
> *DMZ Privada
>    - Bancos de dados
>    - APP-Servers
>    - Recursivos internos
>
> Nesse caso, a idéia é que a comunicação entre Front-End e Aplicação
> aconteça sempre em L2, sem passar por firewall(teoricamente).
>
>
> Entendo que esse modelo visa maximizar performance e eliminar eventuais
> pontos de falha.
> MAAAAAS, confesso que tenho VÁRIOS problemas de aceitação para com essa
> metodologia:
> - Caso o Servidor Público seja comprometido, o malfeitor terá acesso direto
> aos servidores que realmente guardam/manipulam os dados essenciais.
> - A implementação de recursos de segurança que validem a camada 7 das
> comunicações entre os Front-End e Back-End torna-se uma manobra hercúlea
> com redirecionamento de Bridges e Vlans.
> - Complexidade extra nas regras de firewall considerando que os FrontEnd
> existe em dois lugares diferentes.
>
>
>
> Eu pessoalmente sou um cara Old-School e não gosto da idéia de um Servidor
> existindo em mais de uma Vlan.
>
>
> Eu sei que eu já pelejei BASTANTE nessa questão.
>  - Se fizer "do jeito deles" e houver uma falha de segurança a culpa é
> minha.
>  - Se fizer "do meu jeito" e qualquer titiquinha que enroscar a culpa é
> inteiramente minha e eles largam tudo e para de trabalhar.
>
> Comprei muitas brigas e alguma eu "domei" e outras eu engoli...
>
>
>
> E aí? Quais são os nortes para essa questão?
> O que os colegas pensam sobre o assunto?
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list