Следует ли разрешить веб-серверу в DMZ доступ к MSSQL в локальной сети?

12

Это должен быть очень простой вопрос, и я попытался исследовать его и не смог найти надежного ответа.

Скажем, у вас есть веб-сервер в DMZ и сервер MSSQL в локальной сети. IMO, и то, что я всегда считал правильным, заключается в том, что веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети (возможно, вам придется открыть порт в брандмауэре, это было бы ок, имо).

Наши сетевые ребята теперь говорят нам, что мы не можем иметь никакого доступа к серверу MSSQL в локальной сети из DMZ. Они говорят, что что-либо в DMZ должно быть доступно только из локальной сети (и сети), и что DMZ не должна иметь доступа к локальной сети, так же как сеть не имеет доступа к локальной сети.

Итак, мой вопрос, кто прав? Должна ли DMZ иметь доступ к локальной сети? Или, если доступ к локальной сети из DMZ строго запрещен. Все это предполагает типичную конфигурацию DMZ.

Аллен
источник

Ответы:

14

Надлежащая сетевая безопасность гласит, что серверы DMZ не должны иметь никакого доступа в сеть «Доверенные». Доверенная сеть может попасть в DMZ, но не наоборот. Для веб-серверов, поддерживаемых БД, таких как ваш, это может быть проблемой, поэтому серверы баз данных попадают в DMZ. Тот факт, что он находится в демилитаризованной зоне, не означает, что он ДОЛЖЕН иметь публичный доступ, но ваш внешний брандмауэр все еще может блокировать любой доступ к нему. Однако сам сервер БД не имеет доступа внутрь сети.

Для серверов MSSQL вам, вероятно, понадобится вторая DMZ из-за необходимости общаться с AD DC как часть его нормального функционирования (если только вы не используете учетные записи SQL, а не интегрированы с доменом, в этот момент это спорный вопрос). Эта вторая DMZ будет домом для серверов Windows, которым нужен какой-то публичный доступ, даже если он сначала проксируется через веб-сервер. Специалисты по сетевой безопасности становятся неуклюжими, когда считают, что обычные машины, имеющие публичный доступ, получают доступ к контроллерам домена, что может быть сложно продать. Тем не менее, Microsoft не оставляет большого выбора в этом вопросе.

sysadmin1138
источник
@ Аллен - мы не знаем, что говорят твои сетевые парни. @ Sysadmin1138 говорит вам о хорошем дизайне.
mfinni
Да, я понимаю, что он говорит. Я думаю, что в прошлом мне говорили, что наш mssql был в локальной сети, когда он действительно находился в другой DMZ, как он описывает
Аллен
Как это согласуется с соответствием PCI, которое обязывает сервер баз данных НЕ находиться в DMZ? Это проблема, с которой я сталкиваюсь: разрешить веб-серверам в DMZ доступ к серверу SQL, который должен находиться либо в локальной сети, либо в другой DMZ ...
Техническая поддержка
Поддержка @IT, которая иногда решается добавлением еще одного слоя DMZ. Layer1 - это ваша веб-ферма, layer2 - ваша ферма БД. Оба слоя огненно защищены от любого другого слоя.
sysadmin1138
4

Я с твоими сетевыми парнями, в теории. Любая другая договоренность означает, что когда кто-то скомпрометирует веб-сервер, у него есть дверь в вашу локальную сеть.

Конечно, реальность должна сыграть свою роль - если вам нужны живые данные, доступные как из DMZ, так и из локальной сети, то у вас действительно есть несколько вариантов. Я бы, вероятно, предположил, что хорошим компромиссом будет «грязная» внутренняя подсеть, в которой могут жить серверы, такие как сервер MSSQL. Эта подсеть будет доступна как из DMZ, так и из локальной сети, но она не сможет инициировать подключения к локальной сети и DMZ.

Плачь Хавок
источник
2
Это то, что мы делаем. Публичные веб-серверы находятся в DMZ. Серверы БД, к которым они делают запросы, находятся в другой DMZ. Ни один из них не может подключаться к корпоративной сети, хотя корпоративная сеть может подключаться к ним.
mfinni
В самом деле? (спрашивает, не с сарказмом) Разве это не означает, что у них есть способ достичь ОДНОГО из ваших серверов SQL (или экземпляров)? Это дверь в ЛВС, но довольно узкая. Затем вам нужно будет скомпрометировать этот точный сервис на этом сервере, чтобы открыть дверь. Я думаю, очень узкая дверь. Размещение серверов во 2-й демилитаризованной зоне по-прежнему позволяет любому, кто подвергает риску доступ IIS к данным в этом SQL.
Гомибуши
1

Если все, что вы пропускаете через брандмауэр, это SQL-соединения от DMZ-сервера к MS-SQL-серверу, тогда это не должно быть проблемой.

Дэвид Макинтош
источник
-1

Я публикую свой ответ, потому что хочу увидеть, как за него проголосовали ...

Веб-сервер в DMZ должен иметь доступ к серверу MSSQL в локальной сети. Если это невозможно, как вы предлагаете получить доступ к серверу MSSQL в локальной сети? Вы не могли!

Аллен
источник
«Может» и «должен» - это две разные вещи.
ITGuy24
Итак, как вы предлагаете веб-сайт, управляемый базой данных, работающий на уровне www?
Аллен