Назад | Перейти на главную страницу

Должны ли серверы базовой системы иметь возможность подключаться к Интернету для обслуживания / поддержки?

У пары наших серверов есть лицензии на обслуживание Oracle. Наш поставщик оборудования спросил, есть ли подключение к Интернету в серверной. Наша политика заключается в том, что все машины в этой комнате изолированы от Интернета по соображениям безопасности. Но специалист по обслуживанию спросил: «Тогда как мы сможем проводить работы по обслуживанию ваших серверов?»

У меня вопрос, нужно ли нашим серверам подключение к Интернету, чтобы обслуживание выполнялось как система проверки лицензии. Или он может это сделать офлайн? Разве это не риск, если к нашему производственному серверу было подключено интернет-соединение?

Ваши серверы подключены к сети, в которой есть другие устройства с доступом в Интернет. Верный? Я уверен, что другие не согласятся, но я считаю, что безопасность, обеспечиваемая запретом прямого доступа этих серверов в Интернет, более иллюзорна, чем что-либо еще.

Обычно вам нужно загрузить патчи из Интернета, а затем применить их на сервере. Однако разумно иметь промежуточный этап копирования исправлений в промежуточное место (даже на DVD) для передачи между Интернетом и серверами баз данных.

Если им просто нужна отдельная машина в серверной комнате, которая может подключаться к Интернету (например, для чтения заметок о патчах), это еще один вариант.

Наконец, есть разница между тем, чтобы на сервере работал браузер, который может подключаться к Интернету, и доступ к серверу как к серверу из Интернета.

Все зависит от того, насколько безопасным вы хотите / должны быть.

Мы проводим большое обслуживание серверов клиентов, у которых нет доступа к Интернету. Мы должны взять все обновления / исправления / программное обеспечение, которое нам понадобится для этого визита, на CD / USB-накопитель. (Разрешение третьим сторонам приносить USB-накопители / компакт-диски само по себе является угрозой безопасности)

Вы всегда можете использовать iptables для настройки точного IP-адреса источника / назначения: пары портов, которые вы хотите оставить открытыми.

Таким образом, даже когда сервер взломан через глобальную сеть, вы можете гарантировать, что только доверенные IP-адреса и правильные учетные данные получат к нему доступ.

Кроме того, вы можете использовать пара закрытых и открытых ключей ssh также, который может быть разделен только между вами двумя.

Все ваши серверы должны быть либо в демилитаризованной зоне, либо, по крайней мере, за брандмауэром. Практически любой брандмауэр можно настроить для разрешения исходящих соединений с любого из этих серверов (чтобы они могли самостоятельно проверять и загружать исправления безопасности и другие обновления). А затем ваши системные администраторы должны настроить брандмауэр таким образом, чтобы было разрешено несколько очень конкретных входящих подключений. Если они нужны только для периодического обслуживания, их можно отключить после завершения обслуживания.

Для этой работы мы используем шлюзы Linux, а в качестве брандмауэра - iptables. Однако ваши стандартные аппаратные брандмауэры будут делать то же самое.

Вопрос в том, есть ли риск, позволяя производственным серверам иметь исходящие HTTP / S-соединения в Интернет. Краткий ответ: нет. Более длинный ответ заключается в том, что риск безопасности настолько минимален, что перевешивает затраты (с точки зрения времени) на управление этими серверами.

Учитывайте риски, связанные с предоставлением доступа:

  1. Администратор загружает вредоносное ПО из Интернета на сервер
  2. Скомпрометированный сервер загружает дополнительный код вируса или выгружает конфиденциальную информацию в Интернет.

Во-первых, это смягчается ограничением доступа в Интернет к известным сайтам и, в идеале, запретом просмотра веб-страниц вообще. Кроме того, у ваших администраторов есть определенная уверенность в том, что они не будут действовать злонамеренно.

По второму пункту, учитывая, что сервер уже был каким-то образом скомпрометирован, вопрос о том, доступен ли доступ в Интернет, является спорным вопросом. Злоумышленник уже нашел способ получить код в ваших системах, что означает, что он может получить дополнительный код для этой системы или извлечь из нее данные.

Очевидно, все это может зависеть от конкретных обстоятельств (например, от удовлетворения определенных требований клиентов или нормативных требований).

Какой тип подключения нужен этим серверам?

Если это только HTTP-соединение с сайтом Oracle, почему бы вам не заставить их использовать веб-прокси?

Доступ к VPN - ваш лучший выбор!

ответ №1 является лучшим в теории - уровень безопасности сети равен уровню безопасности самого слабого компьютера, подключенного к этой сети.

На мой взгляд, практический подход был бы таким:

  • внутренняя сеть разделена на подсети dot1q
  • шлюз linux -> весь трафик между подсетями проходит через него, и им можно легко управлять (и на самом деле, с доступом к основным серверам только для необходимых портов приложений и клиентов)
  • внешнее соединение осуществляется только через зашифрованный vpn (pptp с mschap или openvpn)
  • базовые серверы имеют доступ к Интернету только по мере необходимости (обслуживание, загрузка обновлений и т. д.) - также доступ к ним осуществляется через шлюз - с политикой DROP

Даже если вы разрешите подключение к Интернету для некоторых серверов, позвольте им использовать OpenDNS как их DNS-сервер.