Para inverter o proxy Exchange ou não

3

Atualmente, executo o Forefront TMG para reverter o proxy Exchange 2010 para o mundo externo.

Agora estou preparando um ambiente do Exchange 2016 e, com o Forefront TMG ficando obsoleto, quero uma solução sem ele. Agora tenho o pfSense e o HAProxy como primeira linha de defesa e balanceamento de carga.

A pergunta que tenho é: você deve adicionar um proxy reverso entre o balanceador de carga e o Exchange? Onde isso é benéfico? Tudo funciona a partir do mesmo hipervisor e armazenamento abaixo.

Eu sei que o HAPrxoy 1.8 agora tem a capacidade de armazenamento em cache de objetos pequenos na memória, o que pode acelerar os serviços da web. Mas, por outro lado, apenas o OWA e o ECP possuem algum conteúdo estático.

Alguma idéia?

Saudações

Ronald

    
por user292026 12.12.2017 / 22:31

1 resposta

5

Eu tenho o proxy do Azure AD App para o front-end do meu ambiente local do Exchange. As razões para fazê-lo estão em toda a segurança.

Com uma camada de proxy externa, você pode implementar quaisquer outras regras que o Exchange não implemente nativamente. Restrições de IP, restrições de geoIP, autenticação de vários fatores, etc. - seja qual for o seu proxy.

Você não tem portas 80 e 443 abertas para seus servidores Exchange, que executam o Windows e podem ter vulnerabilidades desconhecidas. Você está dependendo do seu proxy para ter menos vulnerabilidades, obviamente - mas mesmo se elas forem de propriedade, contanto que o proxy não seja um membro do domínio e esteja em alguma forma de DMZ, a quantidade de dano que uma máquina proxy pwned pode é esperançosamente muito menor do que uma máquina de propriedade do Exchange.

Ressalva - Se o seu proxy não fornecer mais recursos de segurança e / ou reduzir sua superfície de ataque, tudo o que você fez foi complicar seu ambiente sem nenhum retorno.

    
por 12.12.2017 / 22:54