Назад | Перейти на главную страницу

Есть ли безопасный способ разрешить IIS 7 в DMZ доступ к серверу БД за брандмауэром?

Наши сетевые администраторы непреклонны в том, что для наших веб-серверов, размещенных в DMZ, небезопасно обращаться к серверу БД за нашим брандмауэром. Чтобы обойти проблему, мы получаем доступ к данным через веб-службы или WCF. Я считаю, что это ненужная нагрузка на производительность, которую можно было бы устранить, если бы веб-сервер мог напрямую обращаться к БД.

Причины, по которым мне были приведены, заключаются в том, что хакер смог войти на веб-сервер, а затем получить доступ к БД. Можно ли открыть порты только для IIS или это невозможно? Если мы сможем ограничить его только IIS, сможет ли это легко сделать хакер?

Я читал различные сообщения в Интернете, но не могу найти однозначного ответа.

Al

Я настроил платформы для крупных предприятий, и обычной практикой является обеспечение того, чтобы ваши базы данных находились в другой VLAN, чем ваши веб-серверы, с брандмауэром, установленным между этим трафиком маршрутизации только на порт сервера базы данных, а также брандмауэром перед вашей сетью. серверы. Обычно ваш передний брандмауэр перенаправляет порт 80 (HTTP) и порт 443 (HTTPS) на ваши веб-серверы. Брандмауэр, установленный между веб-сервером и сервером базы данных, будет перенаправлять трафик с веб-серверов на порт, используемый вашей базой данных (обычно порт 1433 при использовании Microsoft SQL Server).

Для повышенной безопасности:

  • Убедитесь, что вы используете учетную запись с минимальными привилегиями для доступа к серверам баз данных.
  • Если вы используете ASP.NET, вы можете зашифровать строку подключения к базе данных в файле web.config.
  • Нанять стороннюю компанию для проведения теста на проникновение, чтобы сообщить о любых уязвимостях
  • Убедитесь, что обновления и пакеты обновления устанавливаются регулярно по расписанию.

Если ваша база данных - это база данных MI6 или CIA, то ваши сетевые администраторы, вероятно, правы, но мне тоже кажется, что они слишком остро реагируют.

Если база данных действительно содержит данные, которые абсолютно не могут быть представлены в общедоступной сети, но данные, которые требуются вашей базе данных, не так важны, не могли бы вы посмотреть на репликацию таблиц, которые требуются вашему веб-сайту, в базу данных, которая находится в вашей среде хостинга?

Я бы задала им вопрос:

  • Если хакер получит доступ к веб-серверу, смогут ли они вызвать ваши веб-службы?
  • Если в IIS обнаружена уязвимость, которая позволила им получить доступ к вашему веб-серверу, то наверняка они просто используют ту же уязвимость на веб-сервере, на котором размещены ваши веб-службы?
  • Могут ли они установить программное обеспечение, которое отслеживает ввод данных пользователем и анализирует пароли в памяти?

Ваши веб-серверы также могут быть за брандмауэром, им просто нужно, чтобы порт 80 был перенаправлен на правильный сервер. Все остальные порты, которые не нужны вашему веб-серверу, должны быть закрыты на самом внешнем брандмауэре. Тогда между вашими веб-серверами и серверами данных должен быть брандмауэр. В этом брандмауэре вы разрешаете открывать только те порты, о которых говорят базы данных.

Вот диаграмма

Интернет -> Брандмауэр -> Веб-серверы -> Брандмауэр -> Базы данных

К вашему сведению, я разработчик, хотя я часто работаю с нашим ИТ-персоналом в своей компании, так как мы небольшой магазин.