web-dev-qa-db-ja.com

より危険なものは何ですか? DMZまたは信頼されたネットワーク内のデータベースサーバー?

これが関連するデータベース/ DMZの質問の真似ではないことを願っていますが、それらのどれもが私の質問に十分に答えたとは思いません。

以下を想定

  • Webサーバーがイントラネットおよびインターネットの目的で使用されている
  • 上記のシステムにはActive Directory同期が必要ですが、必ずしもAD LDSと互換性があるわけではありません
  • したがって、前述のWebアプリケーションは、Active Directoryと統合するためにADデータベースからルックアップを実行する必要があります。

現在、次のトポロジが理想的であると確信しています(それぞれがファイアウォールを表していることに注意してください)。私が間違っている場合は修正してください。ただし、このトポロジでは、DMZがトラステッドネットワークと対話することを防ぎ、データベースをDMZから除外します。

INTERNET <-> | <-> DMZ <-> | <-> Database Zone <-> | Trusted Network

ここで、上で述べたことが真実であると仮定して、企業が3ファイアウォールアプローチの能力を持っていなかった場合はどうなりますか?より大きなリスクは、データベースサーバーをDMZに配置することですか、それとも、信頼できるネットワークへのアクセスを許可する特定のファイアウォールルールを使用して、信頼できるネットワークに保持することですか?

networkfirewallsrisk-management
4
DKNUCKLES

大規模な銀行が使用する通常のシナリオは、データベースサーバーを内部ネットワークに配置することですが、通常は、そのセグメントにサービスを提供するルーターのアクセス制御を使用して分離されます。論理的には、これは提案された説明に従います。

それを考える最良の方法は次のとおりです。おそらくデータベースには、会社の最も重要な情報資産の一部が含まれています。本当にそれをDMZに入れますか?リスクが高いことがわかっているネットワークセグメント。

1
Rory Alsop

1つの解決策:データベースサーバーを信頼できるネットワークに配置し、データベースポートの通過のみを許可するようにします。

多分より良いものになるでしょう:

  1. DBサーバーのOSファイアウォールをオンにして、すぐにロックする

  2. DMZ NIC and a Trusted Net NIC

  3. データベースのセキュリティがロックされ、必要なトラフィックを除いてすべてがブロックされ、ブロックされていることを確認します(つまり、信頼できるNICでADトラフィックを許可し、DMZでは許可しないなど)。

これにより、論理的には説明したトポロジが得られますが、データベースサーバーが危険にさらされている場合は、リスクが高まります。

データベースサーバーをドメインから切り離しておく価値はありますか?つまり、SQLポートを開くだけできるようにする必要があります。

名前の付いたインスタンスのペアをセットアップするのでしょうか? 1つは外部用、もう1つは内部用です。すべてを論理的に分離できます。

2
Bob Watson