Моя текущая (воображаемая) установка имеет DMZ с двумя серверами и внутреннюю сеть с еще двумя серверами.
Серверы в DMZ - веб-сервер (веб-сайт компании), прокси
Серверы во внутренней сети - обмен сообщениями (Exchange), аутентификация и доменные службы (AD)
Теперь у меня есть только одна установка SAN, которую я должен использовать в этих двух сетях.
Является ли подключение SAN к серверам в DMZ и внутренней сети грехом в контексте сетевой безопасности?
Какая лучшая практика?
Вы не упоминаете, о каком типе SAN вы думаете, я бы, конечно, был намного счастливее, используя SAN с FC-подключением между системами в двух разных зонах безопасности, так как злоумышленнику придется взломать IP-аспект вашего веб-сервера. , затем взломайте массив FC - два совершенно разных навыка / протокола и т. д. - чтобы получить внутренние данные. Кроме того, сети FC, как правило, основываются на эффективном соединении точка-точка, в отличие от «обычных» IP-сетей, где все открыто для всех, если только они не связаны. И наоборот, если вы можете взломать веб-сервер, у вас, вероятно, есть навыки, чтобы копаться в iSCSI, даже если он находится в выделенной подсети.
Поскольку SAN - это отдельная инфраструктура, пока вы разделяете отдельные LUN на отдельные места, это не должно быть ужасной проблемой.
Однако, как правило, SAN является заполнителем для всех конфиденциальных данных в организации, и лучше всего сохранить его как можно более безопасным, предпочтительно доступным только изнутри, через серверы, защищенные брандмауэром.