DMZ'deki bir web sunucusunun LAN'daki MSSQL'e erişmesine izin verilmeli mi?

Bu çok temel bir soru olmalı ve araştırmaya çalıştım ve sağlam bir cevap bulamadım.

DMZ'de bir web sunucunuz ve LAN'da bir MSSQL sunucunuz olduğunu varsayalım. IMO ve her zaman doğru olduğunu düşündüğüm, DMZ'deki web sunucusunun LAN'daki MSSQL sunucusuna erişebilmesi gerektiğidir (belki güvenlik duvarında bir bağlantı noktası açmanız gerekir, tamam IMO).

Ağ iletişimi yapan kişilerimiz artık DMZ'den LAN'daki MSSQL sunucusuna erişemeyeceğimizi söylüyor. DMZ'deki herhangi bir şeye sadece LAN'dan (ve web'den) erişilebilir olması gerektiğini ve web'in LAN'a erişimi olmadığı için DMZ'nin LAN'a erişiminin olmaması gerektiğini söylüyorlar.

Benim sorum şu, kim haklı? DMZ'nin LAN'a / LAN'dan erişimi olmalı mı? Veya, DMZ'den LAN'a erişim kesinlikle yasaktır. Bütün bunlar tipik bir DMZ yapılandırmasını varsayar.

Uygun ağ güvenliği, DMZ sunucularının 'Güvenilen' ağa erişiminin olmaması gerektiğini belirtir. Güvenilir ağ DMZ'ye ulaşabilir, ancak tam tersi olamaz. Sizinki gibi DB destekli web sunucuları için bu bir sorun olabilir, bu yüzden veritabanı sunucuları DMZ'lerde bulunur. Bir DMZ'de olması, genel erişime sahip olması gerektiği anlamına gelmez, harici güvenlik duvarınız buna tüm erişimi engelleyebilir. Ancak, DB sunucusunun kendisinin ağın içine erişimi yoktur.

MSSQL sunucuları için, AD DC'lerle normal işleyişinin bir parçası olarak konuşma gereksinimi nedeniyle muhtemelen bir 2. DMZ'ye ihtiyacınız vardır (etki alanı ile tümleşik değil, SQL hesapları kullanmıyorsanız, bu noktada tartışmalıdır). Bu ikinci DMZ, önce bir web sunucusu üzerinden proxy olsa bile, bir tür genel erişime ihtiyaç duyan Windows sunucularına ev sahipliği yapar. Network Security kullanıcıları, DC'lere erişim sağlayan ve zor bir satış olabilen etki alanlarına sahip makineleri düşündüklerinde gıcırtılıyorlar. Ancak, Microsoft bu konuda fazla seçenek bırakmıyor.

Ağınızdaki adamlarla birlikteyim, teorik olarak. Diğer tüm düzenlemeler, birisi web sunucusunu tehlikeye attığında LAN'ınıza bir kapı olduğu anlamına gelir.

Tabii ki, gerçeklik bir rol oynamak zorunda - hem DMZ hem de LAN'dan erişilebilen canlı verilere ihtiyacınız varsa, gerçekten birkaç seçeneğiniz var. Muhtemelen iyi bir uzlaşma MSSQL sunucusu gibi sunucuların yaşayabileceği "kirli" bir iç alt ağ olacağını öneririm. Bu alt ağa hem DMZ'den hem de LAN'dan erişilebilir, ancak LAN ve DMZ'ye bağlantı başlatabilecek şekilde güvenlik duvarı kapatılmıştır.

Güvenlik duvarı üzerinden izin verdiğiniz tek şey DMZ sunucusundan MS-SQL sunucusuna SQL bağlantılarıysa, bu bir sorun olmamalıdır.

Cevabımı gönderiyorum çünkü bunun nasıl oylandığını görmek istiyorum ...

DMZ'deki web sunucusu, LAN'daki MSSQL sunucusuna erişebilmelidir. Bu mümkün değilse, LAN'daki bir MSSQL sunucusuna nasıl erişmeyi öneriyorsunuz? Yapamazsın!