Мне нужно защитить внутренний веб-сервер и базу данных sql, которая будет обнародована (www). На этом этапе я только хочу обеспечить разумный уровень безопасности ($$), пока он не станет больше, на котором будет выполняться дальнейшая работа .
Поскольку серверы расположены внутри бизнес-локальной сети, веб-сервер будет перемещен в DMZ с открытыми / закрытыми правильными портами.
Итак, вопрос, должен ли сервер sql оставаться в пределах локальной сети для перехода в DMZ? Я думаю, что имеет смысл сохранить db в Lan, разделяя проблемы, что думают все?
* Помните, что я ищу разумный уровень безопасности на этом этапе, дополнительные внутренние брандмауэры не используются на данном этапе.
По моему опыту, худшим вариантом было бы хранить БД в DMZ, так как это имеет наибольшую площадь поверхности, поэтому обязательно сохраните ее во внутренней локальной сети - как я уверен, это объясняется в статье в комментарии, лучшая модель было бы иметь сервер (ы) БД в их собственном сетевом сегменте, поскольку это впоследствии позволит лучше анализировать трафик, но, поскольку вы упомянули, что дополнительных брандмауэров еще нет на картах, возможно, вы сможете подключить их к VLAN в новый сегмент с вашей существующей инфраструктурой?
Само собой разумеется, но НАСТОЯТЕЛЬНО рекомендовал бы, чтобы стандарты усиления безопасности CIS применялись к вашему веб-серверу и серверу БД - я знаю, что вы спрашивали только о сегментации, но если вы смотрите на безопасность, это хороший бесплатный способ начать работу с конфигурациями: