Do ponto de vista da defesa contra ataques, não filtrar dados de entrada / saída, é claro, não acrescenta nada de valor. Poder-se-ia argumentar que o proxy sem premeditação na verdade reduz a segurança nisso:
- maior complexidade é introduzida, muitas vezes com uma vingança.
- menos transparência em que várias camadas de log e alerta precisam de correlação por transação.
- a superfície de ataque aumenta por meio de subsistemas adicionais.
- maior diversificação de sistemas aumenta o risco de erro humano.
- todo sistema carrega erros que introduzem incertezas, proxies não são exceção.
para não mencionar os desperdícios em recursos tecnológicos (máquinas, armazenamento, backup / restauração etc).
Por outro lado, pode haver vitórias relacionadas à segurança de outras formas:
- Equilíbrio de carga e possibilidades de failover.
- Maior flexibilidade na separação da camada de acesso da camada de serviço (ou seja, mais fácil de fazer manutenção, reestruturação, etc.).
- A opção futura de introduzir facilmente a filtragem e outros recursos sem disputa pelos recursos do sistema na camada de serviço.
- Separar outras funções que a simples filtragem de assinatura de ataque, como a lógica de regravação ou determinados registros, por exemplo, facilitando a configuração e reduzindo os riscos durante a alteração.
- Certas funções podem ser melhor documentadas ou conhecidas na plataforma de proxy, proporcionando maior estabilidade e controle ou uma redução de incógnitas ao afastá-los do backend.
Tenho certeza de que há mais, apenas do topo da minha cabeça.