私は Web 開発者で、ときどきシステムとネットワークの管理者の役割を担っています (小さな会社)。現在、Windows Server 2003 を実行するホスト サーバーが 1 台あり、このサーバーで Web サーバー (IIS/Coldfusion) とデータベース サーバー (SQL Server 2008) の両方を実行しています。SQL サーバーは、特定の IP のみに接続を許可することでロックダウンしています。理想的ではありませんが、これまでのところうまくいっています。
私たちは 2 つの異なるサーバーに移行しており、この機会を利用して「物事を正しく」し、Web サーバーのみを公開したいと考えています。私が実現する必要があるのは、データベース サーバーに接続できるユーザーを少数に限定することです。
IP 許可リストを使用するよりも、VPN を使用してユーザーを通過させ、ユーザーの場所だけでなくユーザーに基づいてアクセスを許可することを好みます。Server 2008 Web エディションを使い続けるために、OpenVPN のようなものを検討しています。次の操作を行います。
- Web サーバーを VPN サーバーとして使用し、データベース サーバーを Web サーバーからの接続のみを受け入れるように設定しますか? たとえば、db.mycompany.com への接続を別の接続ではなく VPN 経由でルーティングするには、追加の手順が必要ですか? ネットワーク インフラストラクチャに関するこの部分については無知です。または、
- ルーティングの問題が発生しないように、データベース サーバーに VPN サーバーを唯一の公開サーバー接続として設定しますか?
これはネットワークの基本事項であることは承知していますが、会社に多少影響する可能性があるため、そのまま進む前に質問しようと思いました。どうもありがとうございます!
答え1
VPN をファイアウォールに移動します (基本的な Cisco であれば問題なく処理できます)
2 つのゾーンを設定します。1 つはデータベースとバックエンド サーバー、もう 1 つは個人情報や機密情報を保存するすべてのものを含む「セキュア ゾーン」です。
それからあなたの非武装地帯ウェブサーバー用です。ウェブサーバーがハッキングされたとしても (いつハッキングされるかという問題ではなく、ハッキングされるかどうかの問題です)、機密情報を含むマシンに直接アクセスすることはできません。
編集:これは、VPNを実行できるファイアウォールがあることを前提としています。(ファイアウォールについては何も言及されていません。そうでない場合は、WebサーバーにVPNを配置します。最高オプションですが、もっと悪い場合もあります。また、Web サーバーが侵害された場合にできるだけ早く知ることができるように、Web サーバーに何らかのログ記録/トリップワイヤー ソフトウェアをインストールすることを推奨します。VPN キーを取得したり、データベースを攻撃したり、大きな問題を引き起こしたりする前に、サーバーをシャットダウンできることを願っています :P。
