[GTER] Política Rede Servidores Firewall

Fernando Frediani fhfrediani at gmail.com
Thu Mar 17 11:27:45 -03 2016


Douglas, a documentação é oficial do produto e coloca aquilo como
condicionante para haver suporte por parte deles ou é só uma recomendação
dos robozinhos que escrevem essa documentação ?
Se for só recomendação simplista e não obrigação faz da forma certa e
ignora aquilo.

Acredito ser difícil ser condicionando para suporte porque senão muitos
desses produtos seriam banidos pela política interna ou certificações de
segurança de muitas empresas.

Abraços
Fernando

2016-03-17 9:05 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Eu concordo em Gênero número e grau com isso Fernando...
>
> Mas Leia as documentações oficiais do Exchange por exemplo.
> Ou do Oracle Application for WEB.
>
> E muitos outros mais...(até o WildFly tem um doc sobre isso)
>
>
> Ele pedem que o server tenha uma interface de cara para a rua, e outra
> interface ligada em L2 com o Application/Database.
>
>
> Isso me dá no saco!
> Não consigo concordar...
>
>
> Em 16 de março de 2016 23:40, Fernando Frediani <fhfrediani at gmail.com>
> escreveu:
>
> > Douglas, sem dúvida nenhum e sem titubear os servidores Front-end vão em
> > uma Vlan DMZ e os servidores Back-end em uma Vlan Privada (privada no
> > sentido de sem incomming access) ou seja atravessando sim o firewall.
> >
> > Pra mim essa é questão quase que "no brainer" no cenário que você
> > descreveu.
> >
> > Abraços
> > Fernando Frediani
> >
> > 2016-03-16 15:23 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
> >
> > > Para mim a questão de comunicação entre servidores de Front-End e
> > > Servidores de aplicação sempre foi complexa e polêmica.
> > > E com a facilidade que a virtualização trouxe, essa questão tem ficado
> > cada
> > > vez mais polêmica e mais complicada.
> > >
> > >
> > > Existem diversos fabricantes de software(Microsoft, Oracle, SAP) que
> > > sugerem que servidores de Front-End existam tanto na Sub-rede DMZ
> Pública
> > > quanto na Sub-Rede DMZ privada.
> > >
> > >
> > > Apenas para contextualizar, falamos de um ambiente corporativo.
> > > *DMZ Pública ficam os servidores como:
> > >    - DNS Autoritativos
> > >    - MX
> > >    - Proxy Reverso(Um exemplo de Front-End)
> > > *DMZ Privada
> > >    - Bancos de dados
> > >    - APP-Servers
> > >    - Recursivos internos
> > >
> > > Nesse caso, a idéia é que a comunicação entre Front-End e Aplicação
> > > aconteça sempre em L2, sem passar por firewall(teoricamente).
> > >
> > >
> > > Entendo que esse modelo visa maximizar performance e eliminar eventuais
> > > pontos de falha.
> > > MAAAAAS, confesso que tenho VÁRIOS problemas de aceitação para com essa
> > > metodologia:
> > > - Caso o Servidor Público seja comprometido, o malfeitor terá acesso
> > direto
> > > aos servidores que realmente guardam/manipulam os dados essenciais.
> > > - A implementação de recursos de segurança que validem a camada 7 das
> > > comunicações entre os Front-End e Back-End torna-se uma manobra
> hercúlea
> > > com redirecionamento de Bridges e Vlans.
> > > - Complexidade extra nas regras de firewall considerando que os
> FrontEnd
> > > existe em dois lugares diferentes.
> > >
> > >
> > >
> > > Eu pessoalmente sou um cara Old-School e não gosto da idéia de um
> > Servidor
> > > existindo em mais de uma Vlan.
> > >
> > >
> > > Eu sei que eu já pelejei BASTANTE nessa questão.
> > >  - Se fizer "do jeito deles" e houver uma falha de segurança a culpa é
> > > minha.
> > >  - Se fizer "do meu jeito" e qualquer titiquinha que enroscar a culpa é
> > > inteiramente minha e eles largam tudo e para de trabalhar.
> > >
> > > Comprei muitas brigas e alguma eu "domei" e outras eu engoli...
> > >
> > >
> > >
> > > E aí? Quais são os nortes para essa questão?
> > > O que os colegas pensam sobre o assunto?
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list