Profesional keamanan pihak ketiga merekomendasikan agar kami menjalankan proxy terbalik di depan server web (semua dihosting di DMZ) sebagai tindakan keamanan praktik terbaik.
Saya tahu ini adalah arsitektur yang disarankan karena menyediakan tingkat keamanan lain di depan aplikasi web untuk mencegah peretas.
Namun, karena proksi terbalik membalikkan HTTP dengan riang antara pengguna dan server web internal, ia tidak akan memberikan ukuran pencegahan peretasan di server web itu sendiri. Dengan kata lain, jika aplikasi web Anda memiliki lubang keamanan, proksi tidak akan memberikan jumlah keamanan yang berarti.
Dan mengingat bahwa risiko serangan terhadap aplikasi web jauh lebih tinggi daripada serangan terhadap proxy, apakah benar-benar banyak yang diperoleh dengan menambahkan kotak tambahan di tengah? Kami tidak akan menggunakan kemampuan caching dari proxy terbalik - hanya alat bodoh untuk mengangkut paket bolak-balik.
Apakah ada hal lain yang saya lewatkan di sini? Apakah reverse proxy paket inspeksi HTTP menjadi sangat bagus sehingga dapat mendeteksi serangan yang berarti tanpa hambatan kinerja utama, atau apakah ini hanya contoh lain dari Teater Keamanan?
Reverse proxy adalah MS ISA fwiw.