WebSphere DMZ Secure Proxy Server for IBM WebSphere Application Server

É possível usar o DMZ Secure Proxy Server for IBM® WebSphere Application Server para fornecer uma plataforma segura para seu servidor proxy.

A instalação do DMZ Secure Proxy Server for IBM WebSphere Application Server permite instalar o servidor proxy na zona desmilitarizada (DMZ), enquanto reduz o risco à segurança que pode ocorrer se você optar por instalar um servidor de aplicativos na DMZ para hospedar um servidor proxy. O risco é reduzido com a remoção, no servidor de aplicativos, de toda a funcionalidade que não é necessária para hospedar os servidores proxy, mas isso pode representar um risco de segurança. A instalação do servidor proxy seguro no DMZ em vez de na zona segura apresenta novos desafios para a segurança. Entretanto, o servidor proxy seguro está equipado com recursos para fornecer proteção contra esses desafios.

Os recursos a seguir estão disponíveis para aumentar a segurança do DMZ Secure Proxy Server for IBM WebSphere Application Server e para determinar o nível de segurança que será designado.
  • Permissões de usuário de inicialização

    O processo do servidor proxy seguro pode ser alterado para ser executado como um usuário sem privilégios após a inicialização. Embora o servidor proxy seguro deva ser iniciado como um usuário privilegiado, a alteração do processo de servidor para execução como usuário sem privilégios fornece proteção adicional para recursos operacionais locais.

  • Considerações sobre roteamento

    O servidor proxy seguro pode ser configurado para rotear pedidos aos servidores de destino com base em informações de roteamento estático ou dinâmico. Roteamento estático significa que o servidor obtém as informações de roteamento a partir de arquivos simples locais. Roteamento dinâmico significa que o servidor obtém as informações de roteamento a partir de uma conexão de túnel do Protocolo de Transporte de Hipertexto, de um servidor proxy para um servidor da zona segura. É mais seguro utilizar roteamento estático, uma vez que o uso do roteamento dinâmico requer uma conexão adicional por meio de firewall interno. O roteamento estático é aplicável apenas a pedidos de HTTP.

  • Opções de administração

    O servidor proxy seguro não contém um contêiner da Web, e, portanto, é incapaz de hospedar o console administrativo. É melhor não ter um contêiner da Web em um DMZ Secure Proxy Server for IBM WebSphere Application Server pois os artefatos de aplicativo de hosting são considerados um risco na segurança e incluem uma área de cobertura desnecessária para o servidor proxy. O servidor proxy seguro é instalado separadamente e possui várias opções administrativas diferentes com várias implicações de segurança.

  • Manipulação de erros

    Páginas de erro customizadas podem ser utilizadas pelo servidor proxy seguro para códigos de erro específicos ou grupos de códigos de erro. Um aplicativo de página de erro customizada pode ser utilizado para gerar mensagens de erro, ou arquivos simples de página de erro customizada podem ser armazenados localmente no sistema de arquivo e utilizados durante o tempo de execução. A escolha das páginas de erro customizados simples em vez de um aplicativo de erro customizado fornece um nível maior de segurança. A escolha dessa opção limitará o caminho do código e eliminará a necessidade de execução de um aplicativo potencialmente não autorizado quando uma página de erro for necessária.

  • Negação de proteção de serviço

    A negação de proteção de serviço é fornecida com a inclusão de duas propriedades: Tamanho máximo da parte do buffer do corpo de pedido e Tamanho máximo da parte do buffer do corpo de resposta. Essas propriedades devem ser ajustadas para equilibrar o nível de proteção com a sobrecarga de desempenho que poderá ser experimentada se essas propriedades forem configuradas incorretamente.

Ao criar o DMZ Secure Proxy Server for IBM WebSphere Application Server, é possível escolher qualquer nível de segurança padrão: Alto, Médio ou Baixo.
  • Nível de segurança DMZ baixo
    Tabela 1. Valores padrão do nível de segurança DMZ baixo. Essa tabela descreve as configurações e os valores padrão para o nível de segurança DMZ baixo.
    Definição Valor padrão
    Permissões de inicialização Executar como um usuário privilegiado
    Roteamento Roteamento Dinâmico
    Administration Administração Remota
    Manipulação de erros Manipulação de Página de Erro Local
  • Nível de segurança DMZ médio
    Tabela 2. Valores padrão do nível de segurança DMZ médio. Essa tabela descreve as configurações e os valores padrão para o nível de segurança DMZ médio.
    Definição Valor padrão
    Permissões de inicialização Executar como um usuário não privilegiado
    Roteamento Roteamento Dinâmico
    Administration Administração Local
    Manipulação de erros Manipulação de Página de Erro Local
  • Nível de segurança DMZ alto
    Tabela 3. Valores padrão do nível de segurança DMZ alto. Essa tabela descreve as configurações e os valores padrão para o nível de segurança DMZ alto.
    Definição Valor padrão
    Permissões de inicialização Executar como um usuário não privilegiado
    Roteamento Roteamento Estático
    Administration Administração Local
    Manipulação de erros Manipulação de Página de Erro Local
Importante: O Nível de segurança DMZ alto não pode ser utilizado para servidores proxy SIP, pois o roteamento estático não pode ser utilizado para o servidor proxy SIP.

Além dessas configurações predefinidas, também é possível customizar as configurações para atender melhor aos requisitos. Se você escolher customizar as configurações, ao DMZ Secure Proxy Server for IBM WebSphere Application Server será designada uma categorização qualitativa do nível de segurança, chamada nível de segurança atual. Foi designado a cada configuração customizada um valor Alto, Médio ou Baixo. O nível de segurança atual equivale ao valor da configuração menos segura que está sendo utilizada. Para chegar a um nível de segurança atual Alto, apenas as configurações com o valor alto podem ser configuradas. Para alcançar um nível de segurança atual Médio, apenas as configurações com valores Alto ou Médio poderão ser utilizadas. Um nível de segurança atual de Baixo será usado se as configurações designadas ao valor de Baixo estiverem definidas.

Uma alteração adicional para aumentar a proteção do DMZ Secure Proxy Server for IBM WebSphere Application Server é alternar de um JDK (Java™ Development Kit) para um JRE (Java Runtime Environment). A alteração de um JDK para um JRE remove a inclusão de um compilador na instalação. Essa mudança é benéfica, pois o compilador possivelmente seria usado para propósitos dolosos na ocorrência de uma violação de segurança.

[IBM i]Nenhum JRE está atualmente disponível para os sistemas i5/OS; dessa forma, um JDK será utilizado. Para obter proteção contra esse tipo de ameaça, você remover manualmente o arquivo tools.jar da raiz da instalação do JDK.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjpx_secpxdmz
Nome do arquivo: cjpx_secpxdmz.html