Следует ли разрешить веб-серверу в DMZ доступ к MSSQL в локальной сети?

Это должен быть очень простой вопрос, и я попытался исследовать его и не смог найти надежного ответа.

Скажем, у вас есть веб-сервер в DMZ и сервер MSSQL в локальной сети. IMO, и то, что я всегда считал правильным, заключается в том, что веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети (возможно, вам придется открыть порт в брандмауэре, это было бы ок, имо).

Наши сетевые ребята теперь говорят нам, что мы не можем иметь никакого доступа к серверу MSSQL в локальной сети из DMZ. Они говорят, что что-либо в DMZ должно быть доступно только из локальной сети (и сети), и что DMZ не должна иметь доступа к локальной сети, так же как сеть не имеет доступа к локальной сети.

Итак, мой вопрос, кто прав? Должна ли DMZ иметь доступ к локальной сети? Или, если доступ к локальной сети из DMZ строго запрещен. Все это предполагает типичную конфигурацию DMZ.

Надлежащая сетевая безопасность гласит, что серверы DMZ не должны иметь никакого доступа в сеть «Доверенные». Доверенная сеть может попасть в DMZ, но не наоборот. Для веб-серверов, поддерживаемых БД, таких как ваш, это может быть проблемой, поэтому серверы баз данных попадают в DMZ. Тот факт, что он находится в демилитаризованной зоне, не означает, что он ДОЛЖЕН иметь публичный доступ, но ваш внешний брандмауэр все еще может блокировать любой доступ к нему. Однако сам сервер БД не имеет доступа внутрь сети.

Для серверов MSSQL вам, вероятно, понадобится вторая DMZ из-за необходимости общаться с AD DC как часть его нормального функционирования (если только вы не используете учетные записи SQL, а не интегрированы с доменом, в этот момент это спорный вопрос). Эта вторая DMZ будет домом для серверов Windows, которым нужен какой-то публичный доступ, даже если он сначала проксируется через веб-сервер. Специалисты по сетевой безопасности становятся неуклюжими, когда считают, что обычные машины, имеющие публичный доступ, получают доступ к контроллерам домена, что может быть сложно продать. Тем не менее, Microsoft не оставляет большого выбора в этом вопросе.

Я с твоими сетевыми парнями, в теории. Любая другая договоренность означает, что когда кто-то скомпрометирует веб-сервер, у него есть дверь в вашу локальную сеть.

Конечно, реальность должна сыграть свою роль - если вам нужны живые данные, доступные как из DMZ, так и из локальной сети, то у вас действительно есть несколько вариантов. Я бы, вероятно, предположил, что хорошим компромиссом будет «грязная» внутренняя подсеть, в которой могут жить серверы, такие как сервер MSSQL. Эта подсеть будет доступна как из DMZ, так и из локальной сети, но она не сможет инициировать подключения к локальной сети и DMZ.

Если все, что вы пропускаете через брандмауэр, это SQL-соединения от DMZ-сервера к MS-SQL-серверу, тогда это не должно быть проблемой.

Я публикую свой ответ, потому что хочу увидеть, как за него проголосовали ...

Веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети. Если это невозможно, как вы предлагаете получить доступ к серверу MSSQL в локальной сети? Вы не могли!