Мы собираемся выпустить веб-приложение для наших пользователей и пытаемся выяснить, помещают ли другие свои серверы в DMZ или просто держат его вне домена за брандмауэром и сильно ограничивают доступ через правила брандмауэра? Кто-нибудь здесь нашел какие-либо минусы для простого ограничения доступа через правила брандмауэра и разрешения O / S?
Обратите внимание, что этот сайт является интерфейсом ASP.NET MVC с серверной частью SQL Server.
Также - это приложение HR / Finance, а серверная часть базы данных содержит наши самые ценные данные. С точки зрения безопасности, я бы предпочел предоставить миру root-доступ к интрасети, чем разрешить доступ к серверу базы данных. В результате мой первоначальный план состоял в том, чтобы не использовать DMZ и открывать только порт 443 на брандмауэре для веб-сервера ... это казалось не хуже, чем размещение сервера db в DMZ с веб-сервером.
Обычно конфигурация такая:
Internet facing servers connected to Firewall's DMZ Port
Trusted servers (SQL, AD, etc) connected to Firewall's Trusted/LAN Port
Internet connected to Firewall's WAN port
Затем брандмауэр настраивается для маршрутизации между этими подсетями и разрешения доступа в соответствии с определенными вами списками контроля доступа.
Вы спрашиваете, какая практика лучше?
Неважно, где размещены вещи, все сводится к одному. то есть как вы его защитили.
Одно правило брандмауэра может открыть все или закрыть все. Может, стоит посмотреть на это с другой стороны.
Достаточно ли вы доверяете своим сотрудникам, чтобы иметь прямой доступ к этим серверам без ограничения доступа между ними через брандмауэр? То же самое и в Интернете. Если это так, поместите их обоих в DMZ.
Лично мне они нравятся в одной подсети без межсетевого экрана, потому что это обеспечивает максимальную производительность. Но если веб-сервер был скомпрометирован, он оставит сервер БД более открытым, чем если бы он находился на безопасной стороне локальной сети. Должны ли их другие службы быть доступны на сервере БД со стороны локальной сети, например, RDP? в зависимости от того, где он находится, вам, возможно, придется открыть порты от локальной сети до DMZ, чтобы разрешить доступ и т. д.
Я обычно не использую DMZ, а только брандмауэр. Учетная запись, на которой работает пул приложений IIS, уже ограничена.
Золотое правило: если он доступен из Интернета и нет практических причин не делать этого, поместите его в демилитаризованную зону. Идея состоит в том, что в случае взлома машины не должно быть возможности достичь внутренней сети. По сути, это похоже на двойной брандмауэр.