У нас есть несколько статичное веб-приложение с большим количеством медиафайлов, которое работает на сервере 2008 R2, не являющемся доменом, в DMZ. Мне нужно сделать резервную копию медиафайлов на сервере. Текущий механизм резервного копирования для серверов в доверенной сети - это агенты BackupExec.
Что было бы лучше всего для резервного копирования сервера DMZ? Мне не очень удобно подталкивать к нему клиента BackupExec и заставлять его подключаться через брандмауэр к серверу BE в доверенной сети ....
Используйте RSync через SSH или другой подходящий и безопасный метод передачи файлов, чтобы получить файлы с рабочей машины DMZ во внутреннюю сеть. Тогда поддержите это.
В зависимости от вашей позиции безопасности вам необходимо определить, можете ли вы открыть порт (-ы) для передачи в обоих направлениях. Если это только один, ваша позиция безопасности определит, в каком направлении. Является ли более безопасным для машины DMZ (вашего производственного веб-сайта) инициирование и отправка этих файлов во внутреннюю сеть? Или было бы более безопасно для вашей внутренней сети инициировать и извлекать файлы из машины DMZ?
В любом случае используемая учетная запись должна иметь наименьшие привилегии, необходимые для выполнения передачи, чтобы в случае взлома учетной записи она не могла нанести гораздо большего вреда, чем просто удалить файлы и, возможно, заполнить диск.
-С учетом всего сказанного, чем это отличается от того, чтобы протокол и данные BE все равно перемещали эти данные?