Должен ли я использовать два дома для наших веб-серверов (DMZ / внутренняя сеть) или просто использовать NAT 1-к-1?
Я устанавливаю стойку серверов, в которой будет 2 веб-сервера и 10 внутренних серверов, обеспечивающих поддержку серверных приложений (переход из среды AWS). У нас будут работать экземпляры виртуальных машин на ящиках.
В большинстве конфигураций корпоративных сетей, с которыми я работал, они работают с двумя домашними веб-серверами, поэтому одна сетевая карта находится в сети DMZ, а другая - во внутренней (не маршрутизируемой через Интернет) сети.
Достаточно ли преимуществ безопасности гарантировать две сети и хосты с двойным подключением в DMZ для меньшей конфигурации с 12 серверами? Это критически важное веб-приложение.
Еще одно преимущество, которое следует учитывать, заключается в том, что отдельные сети снижают риск того, что, если внутренняя сеть перегрузит ее пропускную способность, сеть DMZ может остаться нетронутой (интерфейсы 1 Гбит, и мы можем получить 2 Гбит в брандмауэре, который поддерживает 1,5 Гбит пропускной способности с сохранением состояния).
Итак, я думаю, вот о чем мы говорим:
Достаточно ли преимуществ безопасности, чтобы гарантировать наличие двух сетей и хостов с двойным подключением в демилитаризованной зоне для меньшей конфигурации из 12 серверов? Это критически важное веб-приложение.
Абсолютно. Общедоступные службы должны быть изолированы в DMZ. Период. Все, что может достичь большой плохой Интернет, должно быть отделено от вашей внутренней сети и ее услуг. Это резко ограничивает объем и ущерб, который может причинить нарушение безопасности. Это хорошее приложение Принцип наименьших привилегий и функциональное разделение ..
В большинстве конфигураций корпоративных сетей, с которыми я работал, они работают с двумя домашними веб-серверами, поэтому одна сетевая карта находится в сети DMZ, а другая - во внутренней (не маршрутизируемой через Интернет) сети.
Я бы сделал еще один шаг вперед. Как вы это описываете, ваши серверы могут выступать в качестве моста между Интернетом и остальной частью вашей сети, таким образом, полностью обходя DMZ в случае нарушения безопасности. Ваши серверы должны оставаться в демилитаризованной зоне и быть доступными только через точку управления, такую как межсетевой экран или VPN. У них не должно быть непосредственный связь с что-нибудь во внутренней сети. Это сделало бы недействительным весь смысл DMZ.
Вот диаграмма, показывающая логичный дизайн. Реализация логичный дизайн действительно зависит от вас. Главное, что я пытаюсь сделать, это то, что вы хотите, чтобы любой доступ между вашими внутренними серверами и вашими серверами DMZ был хотя своего рода дроссельная заслонка, где вы можете контролировать, отслеживать и регистрировать эти соединения. Вот пример, который, надеюсь, прояснит то, о чем я говорю:
Допустим, ваш провайдер предоставил вам 203.0.113.0/28 для адресного пространства. Вы решаете разделить его на две отдельные подсети: 203.0.113.0/29 для машин DMZ и 203.0.113.8/29 для внутренних машин. Ваш брандмауэр находится между всей вашей настройкой и Интернетом и имеет три интерфейса: один для восходящего соединения вашего провайдера, один для 203.0.113.0/29 и один для 203.0.113.8/29. Таким образом, любое взаимодействие между любой из этих сетей будет проходить через брандмауэр, где вы можете делать следующие важные вещи: A) выборочно пропускать только трафик, который вы необходимость между хостами, B) отслеживать и регистрировать этот трафик. Настоящая цель состоит в том, чтобы между этими сетями не было прямой связи. Это идеал, к которому вы должны стремиться.