Um profissional de segurança de terceiros recomenda que executemos um proxy reverso na frente do servidor da Web (todos hospedados na DMZ) como uma medida de segurança de práticas recomendadas.
Sei que essa é uma arquitetura típica recomendada, pois fornece outro nível de segurança na frente de um aplicativo da Web para impedir hackers.
No entanto, como um proxy reverso está transportando HTTP de um lado para o outro entre o usuário e o servidor da web interno, ele não fornecerá nenhuma medida de prevenção de hackers no próprio servidor da web. Em outras palavras, se seu aplicativo da Web tiver uma falha de segurança, o proxy não fornecerá nenhuma quantidade significativa de segurança.
E, considerando que o risco de um ataque a um aplicativo Web é muito maior do que o de um ataque ao proxy, há realmente muito ganho com a adição de uma caixa extra no meio? Não estaríamos usando nenhum dos recursos de cache de um proxy reverso - apenas uma ferramenta idiota para transportar pacotes de um lado para outro.
Há algo mais que estou perdendo aqui? A inspeção de pacotes HTTP de proxy reverso ficou tão boa que pode detectar ataques significativos sem grandes gargalos de desempenho ou esse é apenas mais um exemplo do Security Theatre?
O proxy reverso é o MS ISA fwiw.
fonte