Чи є безпечний спосіб дозволити IIS 7 в DMZ отримати доступ до сервера БД за брандмауером?

Наші адміністратори мережі переконані, що наші веб-сервери, розміщені в DMZ, не є безпечними для доступу до сервера БД, що знаходиться за нашим брандмауером. Щоб вирішити проблему, ми отримуємо доступ до даних через веб-сервіси або WCF. Я вважаю, що це зайве навантаження на продуктивність, яке може бути усунене, якщо веб-сервер мав би доступ до БД безпосередньо.

Причини, які мені давали, - це те, що хакер зміг увійти на веб-сервер, щоб потім отримати доступ до БД. Чи можливо відкривати порти тільки для IIS чи не можливо бути таким конкретним? Якщо ми можемо зафіксувати це лише до IIS, чи може це легко зламати хакер?

Я читав різні повідомлення в Інтернеті, але не можу знайти певну відповідь.

Ал

Я створив платформи для великих підприємств, і звичайна практика полягає в тому, щоб ваші бази даних знаходилися на іншій локальній мережі VLAN від ваших веб-серверів, коли брандмауер знаходився між цим трафіком маршрутизації лише до порту сервера бази даних, а також брандмауер перед вашою мережею. сервери. Зазвичай ваш передній брандмауер передасть порт 80 (HTTP) і порт 443 (HTTPS) на ваші веб-сервери. Брандмауер розміщений між веб-сервером та сервером баз даних буде пересилати трафік від веб-серверів до порту, який використовується вашою базою даних (як правило, порт 1433, якщо використовується сервер Microsoft SQL).

Для підвищення безпеки:

• Переконайтеся, що ви використовуєте найменш привілейований рахунок для доступу до серверів баз даних
• Якщо ви використовуєте ASP.NET, ви можете зашифрувати рядок підключення до бази даних в web.config
• Найміть третю компанію, щоб провести перевірку на проникнення, щоб повідомити про будь-які вразливості
• Переконайтеся, що оновлення та пакети обслуговування встановлюються регулярно.

Якщо ваша база даних - це база даних MI6 або CIA, то, можливо, ваші адміністратори мережі мають рацію, але мені теж здається, що вони надмірно реагують.

Якщо база даних містить дані, які абсолютно не піддаються впливу загальнодоступної мережі, але дані, які потрібні вашій базі даних, не є настільки чутливими, чи можете ви подивитись на реплікацію таблиць, потрібних вашому веб-сайту, до бази даних, яка знаходиться у вашому середовищі хостингу?

Я б поставив їм запитання:

• Якщо хакер отримує доступ до веб-сервера, чи можуть вони зателефонувати до ваших веб-служб?
• Якщо в IIS виявлена ​​вразливість, яка дозволила їм отримати доступ до вашого веб-сервера, то, напевно, вони просто використовують ту саму вразливість на веб-сервері, на якому розміщуються ваші веб-сервіси?
• Чи можуть вони встановити програмне забезпечення, яке контролює введення користувача, щоб нюхати паролі в пам'яті?

Ваші веб-сервери також можуть знаходитися за брандмауером, їм просто потрібно перенести порт 80 на правильний сервер. Усі інші порти, які ваш веб-сервер не потребує, повинні бути закриті на цьому самому зовнішньому брандмауері. Тоді між брандмауером та вашими серверами даних повинен бути брандмауер. У цьому брандмауері ви дозволяєте відкривати лише порти, про які розмовляють бази даних.

Ось схема

Інтернет -> Брандмауер -> Веб-сервери -> Брандмауер -> Бази даних

FYI, я розробник, хоча часто працюю з нашими ІТ-персоналами в моїй компанії, оскільки ми невеликий магазин.