Un professionnel de la sécurité tiers recommande que nous exécutions un proxy inverse devant le serveur Web (tous hébergés dans la zone démilitarisée) comme mesure de sécurité optimale.
Je sais que c'est une architecture typique recommandée car elle offre un autre niveau de sécurité devant une application Web pour empêcher les pirates.
Cependant, comme un proxy inverse fait la navette allègrement HTTP entre l'utilisateur et le serveur Web interne, il ne fournira aucune mesure de prévention du piratage sur le serveur Web lui-même. En d'autres termes, si votre application Web présente une faille de sécurité, le proxy ne fournira aucune sécurité significative.
Et étant donné que le risque d'une attaque sur une application Web est beaucoup plus élevé que celui d'une attaque sur le proxy, y a-t-il vraiment beaucoup à gagner en ajoutant une case supplémentaire au milieu? Nous n'utiliserions aucune des capacités de mise en cache d'un proxy inverse - juste un outil stupide pour faire la navette entre les paquets.
Y a-t-il autre chose qui me manque ici? L'inspection des paquets HTTP par proxy inverse est-elle si bonne qu'elle peut détecter des attaques significatives sans goulots d'étranglement majeurs, ou est-ce juste un autre exemple de Security Theater?
Le proxy inverse est MS ISA fwiw.