Чи слід дозволити веб-серверу в DMZ отримати доступ до MSSQL в локальній мережі?


12

Це має бути дуже основним питанням, і я спробував його дослідити, і не зміг знайти надійної відповіді.

Скажімо, у вас є веб-сервер у DMZ та MSSQL-сервер у локальній мережі. IMO, і те, що я завжди вважав правильним, це те, що веб-сервер в DMZ повинен мати можливість доступу до MSSQL-сервера в локальній мережі (можливо, вам доведеться відкрити порт в брандмауері, це було б добре ІМО).

Наші хлопці в мережі зараз говорять нам, що ми не можемо мати доступу до MSSQL-сервера в локальній мережі з DMZ. Вони кажуть, що все, що в DMZ, повинно бути доступним лише з локальної мережі (і в Інтернеті), і що DMZ не повинен мати доступ до локальної мережі, як і Інтернет не має доступу до локальної мережі.

Тож моє запитання, хто правий? Чи повинен DMZ мати доступ до / з локальної мережі? Або, якщо категорично заборонено доступ до локальної мережі з DMZ. Все це передбачає типову конфігурацію DMZ.

Відповіді:


14

Належна безпека мережі стверджує, що сервери DMZ не повинні мати доступу до мережі "Довірені". Довірена мережа може дістатися до DMZ, але не навпаки. Для веб-серверів, підтримуваних БД, як ваш, це може бути проблемою, через що сервери баз даних опиняються в DMZ. Тільки тому, що він знаходиться в DMZ, не означає, що він має доступ до публіки, ваш зовнішній брандмауер все ще може перешкоджати доступу до нього. Однак сам сервер БД не має доступу до мережі.

Для серверів MSSQL, ймовірно, вам потрібен другий DMZ через необхідність спілкуватися з AD DC як частину його нормального функціонування (якщо ви не використовуєте облікові записи SQL, а не інтегровані домени, і в цей момент це суперечка). Цей другий DMZ був би домом для серверів Windows, яким потрібен якийсь публічний доступ, навіть якщо він спочатку проксі через веб-сервер. Люди з мережевої безпеки стають скупими, коли розглядають домашні машини, які відчувають доступ громадськості, отримуючи доступ до постійного струму, що може бути важким продажем. Однак Microsoft не залишає великого вибору в цьому питанні.


@Allen - ми не знаємо, що говорять ваші хлопці з мереж. @ Sysadmin1138 каже вам гарний дизайн.
mfinni

Так, я розумію, що він говорить. Я думаю, мені в минулому говорили, що наш mssql був в локальній мережі, коли він був насправді в іншому DMZ, як він описує
Аллен

Як це вписується у відповідність PCI, що зобов’язує Сервер баз даних НЕ проживати в DMZ? Це питання, з яким я маю справу, дозволити веб-серверам на DMZ отримати доступ до SQL-сервера, який повинен бути або в локальній мережі, або на іншому DMZ ...
IT Support

@IT Підтримка, яка іноді вирішується додаванням іншого шару DMZ. Layer1 - це ваша веб-ферма, layer2 - ваша ферма БД. Обидва шари захищені від будь-якого іншого шару.
sysadmin1138

4

Я теоретично з вашими хлопцями в мережі. Будь-яка інша домовленість означає, що коли хтось компрометує веб-сервер, він має двері у вашу локальну мережу.

Звичайно, реальність повинна зіграти свою роль - якщо вам потрібні живі дані, доступні як з DMZ, так і з локальної мережі, то у вас дійсно мало варіантів. Можливо, я б припустив, що хорошим компромісом буде "брудна" внутрішня підмережа, в якій можуть працювати сервери на зразок MSSQL-сервера. Ця підмережа була б доступною як для DMZ, так і для локальної мережі, але відключилася від можливості ініціювати з'єднання з локальною мережею та DMZ.


2
Це ми робимо. Публічні веб-сервери знаходяться в DMZ. Сервери БД, до яких вони звертаються, знаходяться в іншому DMZ. Жоден із них не може з’єднатись із корпоративною мережею, хоча корпоративна мережа може здійснювати з'єднання з ними.
mfinni

Дійсно? (запитує, не саркастично) Чи не означає це, що вони мають спосіб дістатися до одного із ваших SQL-серверів (або екземплярів)? Яка є двері в локальну мережу, але досить вузька. Тоді вам потрібно буде поставити під загрозу саме ту послугу на цьому сервері, щоб зламати двері. Думаю, дуже вузькі двері. Розміщення серверів у другому DMZ все ще дозволяє кожному, хто ставить під загрозу доступ IIS до даних у цьому SQL.
Гомібуші

1

Якщо все, що ви пропускаєте через брандмауер, - це з'єднання SQL від сервера DMZ до сервера MS-SQL, то це не повинно бути проблемою.


-1

Я публікую свою відповідь, тому що я хочу побачити, як її проголосували ...

Веб-сервер у DMZ повинен мати можливість доступу до MSSQL-сервера в локальній мережі. Якщо це не вдається, як ви пропонуєте отримати доступ до сервера MSSQL в локальній мережі? Ви не могли!


"Могли б" і "повинні" - це дві дуже різні речі.
ITGuy24

Так, то як же ви пропонуєте веб-сайт, керований базою даних, запускатись на рівні www?
Аллен
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.