Quais são seus pensamentos sobre usar ou não um host de bastiões?

A camada de firewall / IPS triplo não faz muito sentido para mim, a menos que os vários dispositivos possuam conjuntos separados de funcionalidade. Se não houver oportunidade para código ou atividade maliciosa "entre" dois dos dispositivos, e eles realmente estão apenas conectados em back-to-back, parece um gigantesco desperdício de dinheiro.

Uma arquitetura mais tradicional seria algo como:

Internet- > Firewall / IDS- > Servidor Web tier- > Servidor de aplicativos Nível > (Firewall / IPS opcional) - > Banco de dados

Esse firewall opcional entre a camada do servidor de aplicativos e o banco de dados não é realmente útil, mas é exigido pela PCI e, potencialmente, por outras regulamentações. Controles de acesso simples ou um firewall de software no servidor de banco de dados faz mais sentido para a maioria dos ambientes do que para um firewall separado dedicado.

Uma configuração mais complicada, mas potencialmente útil, seria usar uma camada "host de bastion" de web / proxy:

Firewall / IDS- > servidor web / proxy- > Firewall / IDS- > servidores de aplicativos- > (firewall opcional / IPS) - > banco de dados.

Na minha opinião, a configuração acima só faz sentido se o firewall / IDS entre seu host bastion for capaz de fazer mais do que uma simples filtragem de pacotes de estado. Se a funcionalidade do IDS dentro desse Firewall / IDS puder olhar dentro de pacotes HTTP e permitir apenas um conjunto de comportamentos definidos entre a camada da Web / proxy e a camada do servidor de aplicativos, poderá valer a pena.

Observe que qualquer uma das camadas de firewall / IDS pode ser implementada como firewall de software em execução no host de destino. Isso simplifica muito a rede e dimensiona melhor do que as soluções de segurança de hardware. Você desiste do "ponto de estrangulamento" centralizado para monitorar todo o tráfego, mas isso geralmente é um requisito para aumentar a escala. Duvido que o Facebook ou o Google transmitam todo o tráfego por meio de qualquer camada de firewall - a funcionalidade de segurança simplesmente precisa ser distribuída nessa escala.

Em redes médias / grandes, é muito comum ver uma rede de perímetro onde os servidores foram endurecidos (o novo termo para host bastion). Em redes menores, não é mais comum (se é que já foi). A ideia de atribuir uma única tarefa a um servidor e fortalecê-la contra tudo o mais está recuperando popularidade em redes de médio porte, já que a virtualização permite configurar facilmente VMs especializadas.

Acho essas configurações mais comuns:
Redes pequenas :
Internet --- > Firewall / roteador --- > Rede interna (servidores e clientes incluídos)

Redes médias
Internet --- > Firewall de perímetro --- > Rede de perímetro (servidores acessíveis pela Internet) --- > Firewall Interno --- > Rede interna (servidores e clientes incluídos)

Redes de alta segurança :
Internet --- > Firewall (es) de perímetro --- > Rede de perímetro (servidores acessíveis pela Internet)
Rede de perímetro --- > Firewall do servidor --- > Rede de servidores
Rede de perímetro --- > Firewall do Cliente --- > Rede de Clientes

É claro que toda rede é um pouco diferente aqui e ali; mas esses são os temas que eu vejo mais comumente. Firewalls típicos incorporam IDS / IDP juntamente com filtragem típica e tal.

Eu acho que a função de bastion hosts está meio diluída nos firewalls de hoje. Se algo em sua rede for "suportar ataque constante", provavelmente é o firewall na frente da Internet.

Além disso, concordo com as visões de Chris S de como organizar a segurança em redes de tamanhos diferentes.

E se você tiver 3 firewalls, é melhor usar fornecedores diferentes, porque se você usar o mesmo firewall e alguém explorar uma vulnerabilidade no sistema hardware / fw mencionado, você perderá todos os seus firewalls.

Eu não vi hosts bastion em uso comum em vários anos. Não acompanhei todo o raciocínio, mas você estaria em boa companhia se decidisse não fazê-lo. No entanto, as razões pelas quais as pessoas não fazem mais isso podem ser simplesmente econômicas e não ter nada a ver com segurança real ou percebida ...