it-swarm-eu.dev

Jaký je nejlepší postup pro umístění databázových serverů do zabezpečených topologií sítě

Mám klasickou architekturu DMZ architektura:

enter image description here

Můj webový server je umístěn v DMZ. Webový server musí komunikovat s databázovým serverem. Tento databázový server je nejdůležitější součástí mé sítě, protože obsahuje důvěrná data.

Kam mám umístit server DB a proč? Mám přidat druhý firewall a vytvořit další DMZ?

20
lisa17
  • Nejlepší umístění je umístit databázové servery do jejich důvěryhodné zóny.
  • Měli by povolit pouze příchozí připojení z webových serverů, a to by mělo být vynuceno u brány firewall a na počítačích. Realita obvykle diktuje několik dalších strojů (db admin atd.). Poslouchejte realitu podle potřeby, samozřejmě.
  • Odchozí připojení by měli provádět pouze tehdy, pokud na nich aktualizujete software.
26
Jeff Ferland

Souhlasíte s Jeffem Ferlandem, databázové servery by měly být samy o sobě: měli byste mít čistou síť pro replikaci a zálohování.

Promiňte, my ASCII art, rychlý přehled rozumného ideálu:

      [internet]
          |
    outer-firewall--- [proxy-zone]
          |      
         ----- [app-zone]
          |
    inner-firewall 
[lan]--/         \-- [database-zone]
  1. Spusťte proxy-server Apache + mod_security/varnish/nginx/WAF/cokoli, v proxy zóně. V případě potřeby sem také přidejte vyrovnávání zátěže/převzetí služeb při selhání. V případě potřeby také server proxy/relé pro odchozí připojení (DNS, SMTP, HTTP proxy).
  2. Když aplikační logika běží na webovém serveru (Java/PHP/ASP), raději tomu říkám aplikační server.
  3. Když potřebujete měřítko, můžete měřítko vodorovně, vyvažovače zatížení to usnadní. Můžete také zvážit replikaci statického neověřeného obsahu na servery proxy front-end.
  4. možná budete chtít přidat jednu nebo více zón: IDS, správa, zálohování, vzdálený přístup, odchozí proxy

Snažíte se zmírnit, takže:

  • komunikace mezi zónami musí být omezena na minimum požadované pro účely servisu a monitorování.
  • reverzní proxy přijímá nedůvěryhodná připojení z internetu, může se připojit pouze ke službám na aplikačních serverech. Pokud chcete své zóny klasifikovat podle provozu, je třeba pečlivě zvážit ukončení protokolu HTTP a pokud chcete vytvořit nová připojení HTTP k aplikačním serverům.
  • aplikační zóna přijímá částečně důvěryhodná připojení od serverů proxy, může se připojit pouze k databázím. Aplikačním serverům můžete věřit o něco více, když víte, že nemluví přímo na internetu.
  • databázové servery přijímají připojení pouze z aplikačních serverů, zóna databáze by měla být vaší „nejčistší“ sítí
  • zvážit použití různých firewallů (prodejce/produktů) pro vnější a vnitřní brány firewall
  • pro požadované odchozí služby (DNS, SMTP nebo záplaty/aktualizace) by tyto měly jít přes samostatný server (např. v proxy-zóně nebo outbound-proxy-zóně).
  • totéž platí pro všechna odchozí připojení HTTPS pro ověření CC. (Pokud máte dost smůlu, že máte pro ověření nějakou černou skříňku od dodavatele, mělo by to jít také do vyhrazené zóny, IMHO.)
  • používat veřejné IP adresy pouze v proxy zóně, soukromé adresování jinde. Žádný server mimo proxy zónu nemusí mít veřejnou IP, NAT nebo výchozí cestu k internetu.

Samostatné zóny usnadňují práci vašeho IDS a efektivnější protokolování. Pokud máte prostředky, přidejte zóny správy, oddělené NIC pro správu pro každý server (pokud je to možné, chráněné porty).

Ve skutečnosti můžete skončit zhutněním „ideální sítě“ do jediného firewallu a VLAN, ale pokud nyní zvažujete své možnosti s ohledem na výše uvedené, mělo by být snadnější migrovat v budoucnu, tj. Krátce po další návštěvě z vaší přátelské čtvrti PCI-DSS auditor ;-)

21
mr.spuratic

Toto je docela běžné nastavení pro DMZ architecutre:

Internet

^

Firewall1

^

DMZ (zde hostujte své dmz servery, které umožňují pouze specifické porty přes firewall)

^

Firewall2

^

Síť databáze (povolit pouze specifické porty a protokol z brány firewall2 do této sítě)

Jak již zmiňujete, databáze obsahuje údaje o kreditních kartách (citlivá), pak i na vnitřní straně brány firewall2 by měla být databázová síť oddělena od podnikových a uživatelských sítí. Tolikrát vidím korunní klenoty celé společnosti otevřené v interní síti, aby všichni uživatelé mohli zkoumat a přistupovat. V dalším kroku byste mohli mít databázi admin VLAN povolit pouze systémům v rámci tohoto VLAN oprávnění k přístupu k databázím) (kromě aplikace, která potřebuje přístup) to z DMZ).

Snad to pomůže.

1
fixulate

Třístupňová architektura je nejbezpečnějším a škálovatelným řešením. Se zvyšujícím se provozem klientů můžeme sčítat tolik středních úrovní, kolik je potřeba k zajištění výkonu. Architektura tří úrovní je také bezpečnější, protože střední vrstva chrání vrstvu databáze. Potřebujeme chránit vrstvu databáze před přímým přístupem a musíme ji umístit do důvěryhodné zóny a měla by to být pouze přijímání připojení z aplikačních serverů.

3 Tier Architecture

1
Ali Ahmad

Vzhledem k tomu, že budete muset dodržovat PCI-DSS, musíte také zajistit, že máte firewally při každém připojení k internetu a mezi DMZ a interními sítěmi).

Také nedělejte databázový server, pokud wintel box je členem domény atd

0
Matthew

Dával bych přednost architektuře, kde je DB server chráněn více než jen firewallem. To znamená, že bych předpokládal, že webový server bude ohrožen - ale namísto toho, aby mohl provádět libovolné operace s databází, může načíst pouze velmi omezená data z zprostředkujícího serveru. Nadšenec DB by tvrdil, že každá databáze DB bude mít vestavěnou dostatečnou kontrolu oprávnění. Ale dobře, obrana do hloubky.

0
markhahn