Hoy en día los servicios que estén expuesto al Internet deben ser tomados con una decisión más delicada. Ya que ciberdelincuentes siempre están al acecho de servicios como bases de datos expuestos u otros servicios administradores de la infraestructura de la empresa. De tal manera los servicios de Elastic Search (ELK) con configuraciones por defecto son populares por su misma complejidad de configurarlos. Dada la criticidad de los servicios mencionados es importante entender qué debe ser publicado en Internet y si es necesario publicarlo, de tal manera que se pueda entender la lógica del porqué y visualizar de forma sencilla dónde ubicar los controles de seguridad.
Una de las mejores prácticas de manejo de bases de datos es restringir el acceso remoto al servicio o si es requerido el acceso remoto utilizar una lista blanca para acceder. Utilizar credenciales complejas al igual de no utilizar usuarios por defectos. Dado que en estos controles es donde viene la solución del uso de un proxy para que múltiples servidores que requieran el servicio pueda acceder desde una dirección IP especifica.
Un proxy generalmente se usa como un puente entre el origen y el destino de una solicitud es decir es como un mensajero entre el cliente y el servidor. Entonces, ya que entendemos que un proxy es utilizado para acceder a recursos que no pueden ser alcanzados por el cliente. En la imagen de abajo podemos ver un diagrama de un proxy.
Uno de los errores más comunes de utilizar un servidor proxy es no utilizar una autenticación para acceder a los recursos internos de la empresa. Esto puede crear un caos ya que si internamente la base de datos no cuenta con validaciones de consultas puede resultar una inyección de bases de datos. Donde no se puede realizar un registro correcto de quien realiza las consultas puede ocasionar impacto al departamento de monitoreo ya que no podrán visualizar cual fue el usuario que realizó la consulta maliciosa. Al final utilizar un servidor proxy para una base de datos es buena práctica siempre y cuando estén configurados de manera correcta, agrega otra capa de seguridad haciendo que el riesgo de este servidor se encuentre en un apetito de riesgo aceptable.