目前我们的应用服务器可以直接在互联网上访问,如下图所示。
考虑到这一点,如果服务器崩溃(硬件故障)或以某种方式停止工作,那就太可怕了。
为了防止这种情况,我想拆分我的应用服务器并在其前面放置一个负载平衡器,如下图所示。这里显示了一个单独的数据库服务器,但这不是问题的一部分,而是一个注意事项,该数据库也将从 APS 中提取。
目前,WAF(apache 的 modsecurity)在应用程序服务器上运行,您会将 WAF 放在新配置的负载均衡器上吗?我考虑使用 NGINX 作为它的代理/负载均衡器。还是我应该将其留在 APS 上?我也不确定 TLS 终止是由 APS 还是在负载均衡器上完成是否会有任何影响。
我们最关注的是安全性、可用性,当然还有性能。
谢谢 :)
答案1
并不是说您不想强化服务器部署本身,但我肯定会将 tls 卸载和应用程序传输/协议安全功能与服务器分开,并转移到代理。让服务器成为服务器,并将您的安全和基础设施需求放在首位。您可以使用 NGINX 开源来打造自己的服务器,也可以使用 NGINX App Protect 进行升级。解决方案详情请见此处。
全面披露:我在 F5 工作。如果您想了解有关 NGINX App Protect 的更多见解,我们有很多文章在 DevCentral 社区中进行您的研究。
答案2
我同意,分离会是一种更好的方法。这样可以在流量到达服务器之前阻止它。它还可以分离功能并允许在不影响服务器的情况下升级 WAF。还可以将有关阻止等的指标汇总到一个地方,从而提供更清晰的画面。