[GTER] Política Rede Servidores Firewall

Douglas Fischer fischerdouglas at gmail.com
Thu Mar 17 09:05:16 -03 2016


Eu concordo em Gênero número e grau com isso Fernando...

Mas Leia as documentações oficiais do Exchange por exemplo.
Ou do Oracle Application for WEB.

E muitos outros mais...(até o WildFly tem um doc sobre isso)


Ele pedem que o server tenha uma interface de cara para a rua, e outra
interface ligada em L2 com o Application/Database.


Isso me dá no saco!
Não consigo concordar...


Em 16 de março de 2016 23:40, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Douglas, sem dúvida nenhum e sem titubear os servidores Front-end vão em
> uma Vlan DMZ e os servidores Back-end em uma Vlan Privada (privada no
> sentido de sem incomming access) ou seja atravessando sim o firewall.
>
> Pra mim essa é questão quase que "no brainer" no cenário que você
> descreveu.
>
> Abraços
> Fernando Frediani
>
> 2016-03-16 15:23 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
> > Para mim a questão de comunicação entre servidores de Front-End e
> > Servidores de aplicação sempre foi complexa e polêmica.
> > E com a facilidade que a virtualização trouxe, essa questão tem ficado
> cada
> > vez mais polêmica e mais complicada.
> >
> >
> > Existem diversos fabricantes de software(Microsoft, Oracle, SAP) que
> > sugerem que servidores de Front-End existam tanto na Sub-rede DMZ Pública
> > quanto na Sub-Rede DMZ privada.
> >
> >
> > Apenas para contextualizar, falamos de um ambiente corporativo.
> > *DMZ Pública ficam os servidores como:
> >    - DNS Autoritativos
> >    - MX
> >    - Proxy Reverso(Um exemplo de Front-End)
> > *DMZ Privada
> >    - Bancos de dados
> >    - APP-Servers
> >    - Recursivos internos
> >
> > Nesse caso, a idéia é que a comunicação entre Front-End e Aplicação
> > aconteça sempre em L2, sem passar por firewall(teoricamente).
> >
> >
> > Entendo que esse modelo visa maximizar performance e eliminar eventuais
> > pontos de falha.
> > MAAAAAS, confesso que tenho VÁRIOS problemas de aceitação para com essa
> > metodologia:
> > - Caso o Servidor Público seja comprometido, o malfeitor terá acesso
> direto
> > aos servidores que realmente guardam/manipulam os dados essenciais.
> > - A implementação de recursos de segurança que validem a camada 7 das
> > comunicações entre os Front-End e Back-End torna-se uma manobra hercúlea
> > com redirecionamento de Bridges e Vlans.
> > - Complexidade extra nas regras de firewall considerando que os FrontEnd
> > existe em dois lugares diferentes.
> >
> >
> >
> > Eu pessoalmente sou um cara Old-School e não gosto da idéia de um
> Servidor
> > existindo em mais de uma Vlan.
> >
> >
> > Eu sei que eu já pelejei BASTANTE nessa questão.
> >  - Se fizer "do jeito deles" e houver uma falha de segurança a culpa é
> > minha.
> >  - Se fizer "do meu jeito" e qualquer titiquinha que enroscar a culpa é
> > inteiramente minha e eles largam tudo e para de trabalhar.
> >
> > Comprei muitas brigas e alguma eu "domei" e outras eu engoli...
> >
> >
> >
> > E aí? Quais são os nortes para essa questão?
> > O que os colegas pensam sobre o assunto?
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list