Linux

設置反向代理時是否必須進行身份驗證?

  • July 13, 2021

我以前從未部署過反向代理,我想知道從安全形度來看它是否是強制性的,以確保只有經過身份驗證的請求才能通過 DMZ 到達我的 Web 應用程序伺服器?

我的執行 linux tomcat 堆棧的 Web 應用程序伺服器具有所有必需的安全和防火牆基礎設施,並且可以驗證自己的請求。我們只是不想在 DMZ 中託管它,因為它並不總是執行最新的作業系統或 tomcat 實例。

Google搜尋“反向代理最佳實踐”或“反向代理安全最佳實踐”並沒有提出任何強制在代理上啟用身份驗證的建議。

這方面的指導方針是什麼?該領域的普遍做法是什麼?我將不勝感激所有答案,尤其是那些在銀行等具有安全意識的環境中實際部署反向代理的人…

提前致謝。

我認為沒有關於該主題的一般指導方針。我在不同區域設置了多個反向代理,有時使用身份驗證,有時不使用,很大程度上取決於實際案例。

從你的問題

我的執行 linux tomcat 堆棧的 Web 應用程序伺服器具有所有必需的安全和防火牆基礎設施,並且可以驗證自己的請求。

我會推斷當您的伺服器已經這樣做時,您的代理中的身份驗證沒有多大意義。當您想在客戶端和其他不安全的伺服器之間創建安全連接時,在反向代理中包含身份驗證是有意義的。當您的伺服器已經安全時,我看不出有任何理由添加另一層安全性。

我以前從未部署過反向代理,我想知道從安全形度來看它是否是強制性的

這絕對不是強制性的。保護原本完全開放的資源當然是一種很好的做法。因此,您的伺服器已經“安全”並且正在驗證請求,我不會添加另一個身份驗證實例。

我在一家位於銀行業邊緣的公司擔任基礎設施工程師多年,在很多人之間轉移大筆資金。

我們的系統設計從不需要來自代理的身份驗證,儘管這些在外部無法訪問(即在 NAT 之後),儘管在應用程序中進行了使用者身份驗證。

這種設置從來都不是問題,除了內部審查之外,還有來自外部審計師和外部專家的大量審計——沒有人將其作為潛在問題提出。

也許相關問題可以幫助您理清構想,因為答案可能因部署而異,並且可能會影響您的決定-

  1. 使用者繞過反向代理的後果是什麼?為什麼代理是抵禦威脅的最佳場所?
  2. 如何訪問安全代理背後的系統?是否有更合適的位置放置端節點?除了對它們進行身份驗證之外,以其他方式保護代理是否有意義?

引用自:https://serverfault.com/questions/1010606