Два размещенных сервера, один общедоступный - VPN?
Веб-разработчик, которому иногда приходится носить шляпу системного и сетевого администратора (небольшая компания). В настоящее время у нас есть один размещенный сервер под управлением Windows Server 2003, на котором работают как наш веб-сервер (IIS / Coldfusion), так и наш сервер базы данных (SQL Server 2008). Мы блокируем SQL-сервер, разрешая подключаться к нему только определенным IP-адресам. Не идеально, но пока работает.
Мы переходим на два разных сервера, и я хочу воспользоваться возможностью, чтобы «все исправить» и сделать доступным только веб-сервер. Что мне нужно сделать, так это разрешить лишь горстке людей подключаться к серверу базы данных.
Вместо того, чтобы использовать список разрешенных IP-адресов, я бы предпочел использовать VPN, чтобы пропустить людей, чтобы доступ был основан на пользователе, а не просто на его местонахождении. Я склоняюсь к чему-то вроде OpenVPN, чтобы я мог придерживаться версии Server 2008 Web. Я:
- Использовать веб-сервер в качестве сервера VPN и настроить сервер базы данных на прием подключений только от веб-сервера? Требуется ли дополнительный шаг для выполнения подключений, скажем, к db.mycompany.com по маршруту через VPN, а не через другое соединение? Я ничего не знаю об этой части сетевой инфраструктуры. Или,
- Настроить VPN-сервер на сервере базы данных в качестве единственного общедоступного подключения к серверу, чтобы не возникало проблем с маршрутизацией?
Я знаю, что это про Сеть 101, но я подумал, что спрошу, прежде чем просто пробежаться по ней, поскольку это может немного повлиять на компанию. Огромное спасибо!
Я бы переместил VPN на брандмауэр (любой базовый cisco справится с этим отлично)
Установите две зоны, вашу «безопасную зону», которая содержит вашу базу данных и внутренние серверы, все, что хранит личную или конфиденциальную информацию.
Тогда твой DMZ для вашего веб-сервера (ов). Если ваш веб-сервер когда-либо будет взломан (это скорее вопрос, когда, а затем, если.) У них нет прямого доступа к машинам с конфиденциальной информацией.
Изменить: предполагается, что у вас есть брандмауэр, способный выполнять VPN. (вы ничего не упомянули о брандмауэре. Если вы этого не сделаете, я бы поставил VPN на веб-сервер. Не Лучший вариант но могло быть и хуже. Я также предлагаю какое-то программное обеспечение для ведения журналов / tripwire для ваших веб-серверов на случай, если они действительно будут скомпрометированы, вы узнаете об этом как можно быстрее. Надеюсь, вы сможете отключить их до того, как они получат ключи VPN, начнут забивать ваши базы данных или начнут создавать большие проблемы: P.
