Чи слід дозволити веб-серверу в DMZ отримати доступ до MSSQL в локальній мережі?

Це має бути дуже основним питанням, і я спробував його дослідити, і не зміг знайти надійної відповіді.

Скажімо, у вас є веб-сервер у DMZ та MSSQL-сервер у локальній мережі. IMO, і те, що я завжди вважав правильним, це те, що веб-сервер в DMZ повинен мати можливість доступу до MSSQL-сервера в локальній мережі (можливо, вам доведеться відкрити порт в брандмауері, це було б добре ІМО).

Наші хлопці в мережі зараз говорять нам, що ми не можемо мати доступу до MSSQL-сервера в локальній мережі з DMZ. Вони кажуть, що все, що в DMZ, повинно бути доступним лише з локальної мережі (і в Інтернеті), і що DMZ не повинен мати доступ до локальної мережі, як і Інтернет не має доступу до локальної мережі.

Тож моє запитання, хто правий? Чи повинен DMZ мати доступ до / з локальної мережі? Або, якщо категорично заборонено доступ до локальної мережі з DMZ. Все це передбачає типову конфігурацію DMZ.

Належна безпека мережі стверджує, що сервери DMZ не повинні мати доступу до мережі "Довірені". Довірена мережа може дістатися до DMZ, але не навпаки. Для веб-серверів, підтримуваних БД, як ваш, це може бути проблемою, через що сервери баз даних опиняються в DMZ. Тільки тому, що він знаходиться в DMZ, не означає, що він має доступ до публіки, ваш зовнішній брандмауер все ще може перешкоджати доступу до нього. Однак сам сервер БД не має доступу до мережі.

Для серверів MSSQL, ймовірно, вам потрібен другий DMZ через необхідність спілкуватися з AD DC як частину його нормального функціонування (якщо ви не використовуєте облікові записи SQL, а не інтегровані домени, і в цей момент це суперечка). Цей другий DMZ був би домом для серверів Windows, яким потрібен якийсь публічний доступ, навіть якщо він спочатку проксі через веб-сервер. Люди з мережевої безпеки стають скупими, коли розглядають домашні машини, які відчувають доступ громадськості, отримуючи доступ до постійного струму, що може бути важким продажем. Однак Microsoft не залишає великого вибору в цьому питанні.

Я теоретично з вашими хлопцями в мережі. Будь-яка інша домовленість означає, що коли хтось компрометує веб-сервер, він має двері у вашу локальну мережу.

Звичайно, реальність повинна зіграти свою роль - якщо вам потрібні живі дані, доступні як з DMZ, так і з локальної мережі, то у вас дійсно мало варіантів. Можливо, я б припустив, що хорошим компромісом буде "брудна" внутрішня підмережа, в якій можуть працювати сервери на зразок MSSQL-сервера. Ця підмережа була б доступною як для DMZ, так і для локальної мережі, але відключилася від можливості ініціювати з'єднання з локальною мережею та DMZ.

Якщо все, що ви пропускаєте через брандмауер, - це з'єднання SQL від сервера DMZ до сервера MS-SQL, то це не повинно бути проблемою.

Я публікую свою відповідь, тому що я хочу побачити, як її проголосували ...

Веб-сервер у DMZ повинен мати можливість доступу до MSSQL-сервера в локальній мережі. Якщо це не вдається, як ви пропонуєте отримати доступ до сервера MSSQL в локальній мережі? Ви не могли!