Hébergement de serveurs Web sécurisésL'hébergement d'un site Web chez un fournisseur d'accès présente des qualités indéniables en terme de bande passante et de disponibilité d'accès. Néanmoins, l'hébergement mutualisé présente des limites dès que l'on souhaite implémenter des solutions avancées : qu'il s'agisse de besoins applicatifs spécifiques, de configuration du serveur Web, il est souvent nécessaire de disposer d'un serveur dédié. Il en va de même si l'on souhaite héberger du contenu dans des conditions de sécurité particulières. Dès lors, autant intégrer le serveur au sein de l'architecture réseau de l'entreprise. On pourra ainsi lui ajouter l'ensemble des extensions nécessaires au fonctionnement du site, tout en maintenant, grâce à son positionnement dans une DMZ, un bon niveau de sécurité du réseau interne. Le logiciel Apache, et tous les éléments du quattuor LAMP, peuvent être mis en place aisément, ainsi que différents outils d'administration Web, compatibles avec Apache. Dès lors que votre serveur est hébergé sur votre réseau, il est possible d'en contrôler efficacement l'accès, et d'envisager l'hébergement de données plus sensibles qu'un simple site public : grâce au protocole HTTPS, des utilisateurs préalement autorisés et identifiés pourront accéder à certains contenus comme un système CRM, ou simplement des données présentes sur un site Intranet sans souci d'interception du contenu par des tiers. Si l'on retient cette solution, il est impératif de sécuriser un maximum l'accès afin d'éviter toute intrusion : l'installation de système de vérification des requêtes permet de diminuer les risques d'attaque. Parmi les solutions disponibles, Pound permet de récrire les requêtes en filtrant toutes les connexions invalides, et toutes les requêtes malformées, afin de n'exposer le serveur proprement dit qu'à des requêtes HTTP correctes, moins susceptibles de provoquer des défaillances. La chaîne de sécurité peut être complétée par un dispositif de détection comme le mandataire Dansguardian, couplé à une base d'attaque : il va identifier les requêtes correspodant à des attaques classiques, et refuser de les transmettre aux serveurs. Enfin, pour améliorer les performances, des mandataires d'accélération, tels que Squid ou Apache, peuvent compléter le dispositif. Tous les contenus statiques des sites pourront être ainsi servi sans charger les serveurs Web proprement parler, dont les ressources seront disponibles pour le calcul des pages dynamiques. Les mandataires se chargent également de répartir la charge entre plusieurs serveurs Web de traitement des requêtes : la montée en charge du site pourra se faire en ajoutant simplement des serveurs supplémentaires. |