現在、私は Forefront TMG を実行して、Exchange 2010 を外部にリバース プロキシしています。
現在、Exchange 2016 環境を準備中ですが、Forefront TMG が廃止されつつあるため、それを使用しないソリューションが必要です。現在、防御と負荷分散の第一線として pfSense と HAProxy を使用しています。
質問です。ロード バランサーと Exchange の間にリバース プロキシを追加する必要がありますか? これはどこで役立ちますか? すべて同じハイパーバイザーとストレージ インフラストラクチャから実行されます。
HAPrxoy 1.8 には、Web サービスの高速化につながる可能性のある小さなオブジェクトのメモリ内キャッシュ機能が搭載されていることは知っています。しかし一方で、静的コンテンツがあるのは OWA と ECP だけです。
何か案は?
ご挨拶
ロナルド
答え1
オンプレミスの Exchange 環境のフロントエンドとして Azure AD アプリ プロキシを使用しています。これを実行する理由はすべてセキュリティに関するものです。
外部プロキシ レイヤーを使用すると、Exchange がネイティブに実装していないその他の必要なルールを実装できます。IP 制限、geoIP 制限、多要素認証など、プロキシがサポートするものであれば何でも実装できます。
Windows を実行している Exchange サーバーにポート 80 と 443 が開かれていないため、未知の脆弱性がある可能性があります。プロキシの脆弱性が少ないことに依存するのは明らかですが、プロキシが乗っ取られたとしても、プロキシがドメイン メンバーではなく、何らかの形式の DMZ 内にある限り、乗っ取られたプロキシ マシンが引き起こす損害の量は、乗っ取られた Exchange マシンよりもはるかに小さいと期待できます。
注意 - プロキシによってセキュリティ機能が強化されず、攻撃対象領域が縮小されない場合、何のメリットもなく環境が複雑になるだけです。