Oracle APEX over SSL

Aangezien Oracle APEX meer en meer wordt ingezet voor bedrijf kritische applicaties beginnen de beveiligingsaspecten rondom APEX steeds belangrijker te worden. Een van deze aspecten is het beschikbaar stellen van een APEX applicatie via HTTPS.

Hiermee worden de gegevens die tussen client (op het internet) en server op een veilige manier, middels encryptie, verstuurd. Indien er gebruik gemaakt wordt van een certificaat uitgedeeld door een Trusted Authority dan vind er authenticatie van de server door de client plaats, waarmee de client zeker weet dat dit een legitieme website is.

Om dit binnen APEX te realiseren, zijn er een aantal opties mogelijk, deels afhankelijk van hoe APEX geïnstalleerd is (Embedded PL/SQL Gateway of Oracle REST Data Services) en deels afhankelijk van hoe vergaand de beveiliging moet worden opgezet.

Best Practice Architectuur

Vanuit The DOC zien wij het als best practice om gebruik te maken van een DMZ architectuur in deze situaties waarbij er een reverse proxy in de DMZ geplaats wordt. Hiermee kan er een goede scheiding worden gecreëerd tussen het externe en het interne netwerk. Tevens kan dit gerealiseerd worden naast uw huidige APEX configuratie zonder dat dit hierop direct impact heeft.

Oracle APEX in een DMZ architectuur

Een goede oplossing die vaak ingezet wordt, is het gebruik maken van een DMZ architectuur, waarbij een “reverse proxy” gepositioneerd wordt tussen het interne en externe netwerk. Het externe netwerk heeft alleen toegang tot de APEX omgeving via de “reverse proxy”, waarbij dit daarnaast alleen over een beveiligde verbinding (SSL) kan:

Figuur1_APEX_architectuur_zonder_Firewalls

Directe connectiviteit vanuit het externe netwerk tot de APEX omgeving kan dan (via firewalls) afgeschermd worden:

Figuur2_APEX_architectuur_met_Firewalls

Voordelen

  • Deze oplossing kan gebruikt worden voor alle mogelijke APEX configuraties (Embedded PL/SQL Gateway, Oracle REST Data Services of de inmiddels “depricated” mod_plsql op Oracle HTTP Server) aangezien er een additionele component geplaatst wordt in de architectuur;
  • Deze oplossing heeft geen directe impact op de APEX configuratie zelf;
  • Het interne netwerk wordt hiermee goed afgeschermd van de buitenwereld, terwijl de verbinding vanuit de buitenwereld via SSL verloopt.

Nadelen

  • Deze oplossing vereist een additioneel niet-Oracle product (b.v. Apache HTTP Server), wat om een correcte architectuur te realiseren op een aparte server geïnstalleerd zou moeten worden.

Bekijk ook onze andere diensten onder Professional Services zoals Oracle Apex.

Gerelateerd nieuws

May 8, 2018

Airport Weert nu een feit!

May 8, 2018

Uitnodiging: “The Road To Cloud”

April 2, 2018

Aftermovie – The DOC Partner Day 2018