Hébergement de serveurs Web sécurisés

L'hébergement d'un site Web chez un fournisseur d'accès présente des qualités indéniables en terme de bande passante et de disponibilité d'accès. Néanmoins, l'hébergement mutualisé présente des limites dès que l'on souhaite implémenter des solutions avancées : qu'il s'agisse de besoins applicatifs spécifiques, de configuration du serveur Web, il est souvent nécessaire de disposer d'un serveur dédié. Il en va de même si l'on souhaite héberger du contenu dans des conditions de sécurité particulières.

Dès lors, autant intégrer le serveur au sein de l'architecture réseau de l'entreprise. On pourra ainsi lui ajouter l'ensemble des extensions nécessaires au fonctionnement du site, tout en maintenant, grâce à son positionnement dans une DMZ, un bon niveau de sécurité du réseau interne.

Le logiciel Apache, et tous les éléments du quattuor LAMP, peuvent être mis en place aisément, ainsi que différents outils d'administration Web, compatibles avec Apache.

Dès lors que votre serveur est hébergé sur votre réseau, il est possible d'en contrôler efficacement l'accès, et d'envisager l'hébergement de données plus sensibles qu'un simple site public : grâce au protocole HTTPS, des utilisateurs préalement autorisés et identifiés pourront accéder à certains contenus comme un système CRM, ou simplement des données présentes sur un site Intranet sans souci d'interception du contenu par des tiers.

Si l'on retient cette solution, il est impératif de sécuriser un maximum l'accès afin d'éviter toute intrusion : l'installation de système de vérification des requêtes permet de diminuer les risques d'attaque.

Chaîne de filtrage HTTP

 Chaîne de filtrage HTTP

Les requêtes HTTP/S entrantes sont validées par Pound puis réécrites en HTTP vers Dansguardian qui va comparer la requête à une base d'attaque. Une fois la requête validée celle-ci est envoyée aux serveurs Apache par l'intermédiaire de Squid qui se charge de l'équilibrage de charge et/ou de la redondance.

Parmi les solutions disponibles, Pound permet de récrire les requêtes en filtrant toutes les connexions invalides, et toutes les requêtes malformées, afin de n'exposer le serveur proprement dit qu'à des requêtes HTTP correctes, moins susceptibles de provoquer des défaillances.

La chaîne de sécurité peut être complétée par un dispositif de détection comme le mandataire Dansguardian, couplé à une base d'attaque : il va identifier les requêtes correspodant à des attaques classiques, et refuser de les transmettre aux serveurs.

Enfin, pour améliorer les performances, des mandataires d'accélération, tels que Squid ou Apache, peuvent compléter le dispositif. Tous les contenus statiques des sites pourront être ainsi servi sans charger les serveurs Web proprement parler, dont les ressources seront disponibles pour le calcul des pages dynamiques. Les mandataires se chargent également de répartir la charge entre plusieurs serveurs Web de traitement des requêtes : la montée en charge du site pourra se faire en ajoutant simplement des serveurs supplémentaires.

 
devel/web.txt · Dernière modification: 2008/05/15 15:07 (modification externe)
Recent changes RSS feed Creative Commons License Valid XHTML 1.0 Valid CSS Driven by DokuWiki
Drupal Garland Theme for Dokuwiki