У нас есть веб-инфраструктура с фермой веб-серверов. Они находятся за балансировщиком нагрузки, который делает SSL-разгрузку. У нас также есть IPS и, очевидно, набор брандмауэров.
Теперь, по соображениям безопасности, нас попросили рассмотреть возможность добавления обратного прокси. Я настаиваю, что это только по соображениям безопасности, поскольку мы не планируем использовать какое-либо кэширование.
Мой вопрос: стоит ли это усилий? Есть ли какая-то дополнительная ценность в дополнительном слое и если да, то оправдает ли он затраченное время?
решение1
Если ваш веб-сервер (пред-)форкается или использует легкие процессы (потоки), то использование прокси-сервера на основе событий (например, ATS, nginx, НЕ Varnish) спереди дает большую защиту от атак типа sloloris. Но при отсутствии кэширования (или DOS-атак) это замедлит ваш трафик.
Почему так против кэширования?