Существует ли безопасный способ разрешить IIS 7 в DMZ доступ к серверу БД за брандмауэром?

Наши сетевые администраторы твердо уверены, что нашим веб-серверам, расположенным в DMZ, небезопасно получать доступ к серверу БД за нашим брандмауэром. Чтобы обойти проблему, мы получаем доступ к данным через веб-сервисы или WCF. Я чувствую, что это ненужное бремя производительности, которое можно было бы устранить, если бы веб-сервер мог напрямую обращаться к БД.

Причины, по которым мне сообщили, состоят в том, что хакер смог войти на веб-сервер, после чего он мог получить доступ к БД. Можно ли открыть порты только для IIS или это невозможно? Если мы сможем заблокировать это только для IIS, может ли это быть легко взято хакером?

Я читал различные посты в интернете, но не могу найти однозначного ответа.

Al

Я настроил платформы для крупных предприятий, и обычная практика состоит в том, чтобы обеспечить, что ваши базы данных находятся в сети VLAN, отличной от ваших веб-серверов, с межсетевым экраном между этим маршрутизацией трафика на порт сервера базы данных и межсетевым экраном перед вашей сетью. сервера. Обычно ваш передний брандмауэр перенаправляет порт 80 (HTTP) и порт 443 (HTTPS) на ваши веб-серверы. Межсетевой экран, расположенный между веб-сервером и сервером базы данных, будет перенаправлять трафик с веб-серверов на порт, используемый вашей базой данных (обычно порт 1433, если используется Microsoft SQL Server).

Для повышенной безопасности:

• Убедитесь, что вы используете учетную запись с минимальными правами доступа для доступа к серверам баз данных.
• Если вы используете ASP.NET, вы можете зашифровать строку подключения к базе данных в файле web.config.
• Наймите стороннюю компанию для проведения теста на проникновение, чтобы сообщить о любых уязвимостях
• Убедитесь, что обновления и пакеты обновления установлены на регулярной основе.

Если ваша база данных - база данных MI6 или CIA, то ваши сетевые администраторы, вероятно, правы, но мне кажется, что они слишком остро реагируют.

Если база данных содержит данные, которые абсолютно невозможно открыть для публичной сети, но данные, которые нужны вашей базе данных, не настолько чувствительны, не могли бы вы взглянуть на репликацию таблиц вашего веб-сайта в базу данных, которая находится в вашей хостинговой среде?

Я бы задал им вопрос:

• Если хакер получает доступ к веб-серверу, могут ли они вызвать ваши веб-службы?
• Если в IIS обнаружена уязвимость, которая позволила им получить доступ к вашему веб-серверу, то наверняка они просто используют ту же уязвимость на веб-сервере, на котором размещены ваши веб-службы?
• Могут ли они установить программное обеспечение, которое отслеживает ввод пользователя, чтобы прослушивать пароли в памяти?

Ваши веб-серверы могут также находиться за брандмауэром, им просто нужно, чтобы порт 80 был перенаправлен на правильный сервер. Все остальные порты, которые не нужны вашему веб-серверу, должны быть закрыты на этом самом внешнем брандмауэре. Тогда между вашими веб-серверами и серверами данных должен быть межсетевой экран. В этом брандмауэре вы разрешаете открывать только те порты, с которыми общаются базы данных.

Вот схема

Интернет -> Брандмауэр -> Веб-серверы -> Брандмауэр -> Базы данных

К вашему сведению, я разработчик, хотя я часто работаю с нашими ИТ-специалистами в моей компании, так как мы небольшой магазин.