Wir haben eine Web-Infrastruktur mit einer Farm von Webservern. Sie befinden sich hinter einem Loadbalancer, der SSL-Offloads durchführt. Wir haben auch ein IPS und natürlich eine Reihe von Firewalls.
Aus Sicherheitsgründen wurden wir nun gebeten, die Möglichkeit zu prüfen, einen Reverse-Proxy hinzuzufügen. Ich bestehe darauf, dass dies nur aus Sicherheitsgründen geschieht, da wir nicht vorhaben, Caching zu verwenden.
Meine Frage ist: Lohnt sich der Aufwand? Bringt eine zusätzliche Schicht einen Mehrwert und wenn ja, wäre der Zeitaufwand gerechtfertigt?
Antwort1
Wenn Ihr Webserver (vorab) geforkt ist oder leichte Prozesse (Threads) verwendet, bietet die Verwendung eines ereignisbasierten Proxys (z. B. ATS, nginx, NICHT Varnish) im Vordergrund einen guten Schutz vor Angriffen vom Typ Sloloris. Aber ohne Caching (oder DOS-Angriffe) wird Ihr Datenverkehr verlangsamt.
Warum so gegen Caching?