O fornecedor está tentando me vender um firewall de hardware: preciso de um?

Question

O fornecedor está tentando me vender um firewall de hardware: preciso de um?

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)

1

De acordo com o título, meu fornecedor de software está tentando me convencer a atualizar para um servidor dedicado com um firewall de hardware. (No momento, estamos em um host virtual Rackspace compartilhado, executando o Ubuntu.)

O banco de dados de nosso aplicativo não contém informações pessoais confidenciais e estamos usando uma boa segurança de senha. Nós também temos backups.

Existe algum bom motivo para estarmos atrás de um firewall de hardware, ou o fornecedor está apenas tentando nos fazer upsell?

Eu não quero ser negligente, mas também não quero que paguemos por serviços que realmente não precisamos.

Obrigado pela sua ajuda.

security firewall hosting web-hosting

por Richard 12.07.2012 / 10:51

5 respostas

Tags security firewall hosting web-hosting

Como atualizar o APC para o mais recente no Ubuntu? Como posso configurar um domínio registrado no GoDaddy para usar os servidores de nome do Slicehost?

score 2 · Answer 1

Não, você não precisa de um firewall de hardware. Você pode precisar de mitigação de DDoS ou de qualquer outro serviço, mas um firewall de hardware para uma única máquina é uma panela cheia.

Já que você mencionou que está em um servidor compartilhado Rackspace, eu suponho que você esteja indo para um ambiente dedicado Rackspace, e sim, eles forçarão um firewall (na verdade um par das coisas) em você, já que eles um mínimo de 3 dispositivos em colo gerenciado. É uma fraude, na minha opinião, e é uma grande parte da razão pela qual puxamos (ou estamos no processo de puxar) todos os equipamentos de nossos clientes para fora de suas instalações. Eu encontraria outro provedor, um que não o force a comprar coisas que você não precisa.

score 1 · Answer 2

Não, não é necessário, a menos que ele tenha algum tipo de proteção contra DDoS ou que você esteja empurrando uma massa de tráfego > 100MB / s.

O firewall no Linux deve fazer um bom trabalho do lado da segurança, desde que configurado corretamente.

score 1 · Answer 3

Parece que você não forneceu nenhum motivo válido para comprar um dispositivo desse tipo (caso contrário, você teria explicado seu raciocínio?)

doesn't contain confidential personal information, [...]. We also have backups

De si mesmos, eles têm pouca influência sobre por que um firewall tão dedicado pode ser justificado.

Supondo que você tenha uma configuração sensata para o firewall do servidor, não há justificativa para usar um firewall separado.

Não estou dizendo que seu sistema é seguro o suficiente - essa é uma pergunta muito diferente, mas além de lidar com volumes de tráfego mais altos e fornecer melhor isolamento contra ataques de nível de pacote de dia zero (que são muito raros) ele não faz nada você não deveria poder usar o iptables / tc / iproute2

Além disso, embora os dispositivos mais caros possam fornecer o tipo de proteção oferecido pelo snort, nenhum deles fornece a funcionalidade que você pode implementar no software usando o fail2ban.

score 0 · Answer 4

Normalmente, mais conexões serão permitidas.

Dependendo do modelo que seu fornecedor está vendendo, pode haver recursos adicionais, às vezes exclusivos, que você possa gostar. Verifique o site do fornecedor relevante.

O mais importante talvez seja que ele e seu servidor sejam dedicados em vez de compartilhados. Isso dá a você mais liberdade para escolher janelas de manutenção (embora verifique com sua empresa de hospedagem, pois pode haver cobranças adicionais por exercer essa liberdade) e de problemas de desempenho causados por seus vizinhos em plataformas compartilhadas.

Informe-se sobre balanceadores de carga também.

score 0 · Answer 5

Eu tenho que concordar com o questionamento se você precisa ou não de um FW aqui também. Eu vejo os FWs como policiais de trânsito mais do que qualquer outra coisa em geral. O serviço que você está usando deve ter alguns dos que já estão no lugar, então estou pensando que você está procurando por alguma proteção de aplicativo da web. Só porque você não tem nenhuma PII no seu site, isso não significa que não há problema em ser hackeado. Há algumas soluções baseadas em nuvem, baseadas em software como serviço (SaaS) para segurança de sites e aplicativos da Web que você deve examinar; xyberShield e FireEye. Eu sei mais sobre o xyberShield, mas também revi o produto FireEye, que é um produto anti-malware. O modelo SaaS oferece várias maneiras de dimensionar a segurança do produto com as necessidades de seus produtos. Redundância, baixa latência porque não há hardware em seu site (pelo menos com xyberShield), robustez de processamento e atualizações são tratadas no back-end da solução de modelo SaaS.

O outro item importante para entender as vantagens dessas duas soluções é que elas são Baseadas no Comportamento E Baseadas na Assinatura. O produto xyberShield tem um Mecanismo de Correlação de Análises Comportamentais (BACE) avançado e avançado que está em uso há mais de quatro anos, então qualquer coisa que ele aprende é imediatamente aplicada à sua base de conhecimento e disponível para todos os clientes que atende globalmente. / p>

O mais importante é entender que você pode precisar atender às necessidades específicas do seu website e da proteção de aplicativos da Web com um número estratificado de produtos e / ou serviços. Hoje, você deve procurar combinar seus serviços de site da Web baseados em nuvem com uma solução de segurança baseada em nuvem.