Un profesional de seguridad externo está recomendando que ejecutemos un proxy inverso frente al servidor web (todos alojados en la DMZ) como medida de seguridad recomendada.
Sé que esta es una arquitectura típica recomendada, ya que proporciona otro nivel de seguridad frente a una aplicación web para evitar hackers.
Sin embargo, como un proxy inverso está enviando alegremente HTTP de un lado a otro entre el usuario y el servidor web interno, no proporcionará ninguna medida de prevención de piratería en el servidor web en sí. En otras palabras, si su aplicación web tiene un agujero de seguridad, el proxy no proporcionará ninguna cantidad significativa de seguridad.
Y dado que el riesgo de un ataque a una aplicación web es mucho más alto que el de un ataque al proxy, ¿realmente se gana mucho al agregar un cuadro adicional en el medio? No estaríamos utilizando ninguna de las capacidades de almacenamiento en caché de un proxy inverso, solo una herramienta tonta para transportar paquetes de un lado a otro.
¿Hay algo más que me falta aquí? ¿La inspección de paquetes HTTP de proxy inverso se ha vuelto tan buena que puede detectar ataques significativos sin grandes cuellos de botella en el rendimiento, o este es solo otro ejemplo de Security Theater?
El proxy inverso es MS ISA fwiw.
fuente