Hier ist ein Webentwickler, der gelegentlich die Rolle des System- und Netzwerkadministrators übernehmen muss (kleines Unternehmen). Wir haben derzeit einen einzelnen gehosteten Server mit Windows Server 2003, auf dem sowohl unser Webserver (IIS/Coldfusion) als auch unser Datenbankserver (SQL Server 2008) läuft. Wir sperren den SQL-Server, indem wir nur bestimmten IPs die Verbindung zu ihm erlauben. Nicht ideal, aber bisher hat es funktioniert.
Wir wechseln zu zwei verschiedenen Servern und ich möchte die Gelegenheit nutzen, alles richtig zu machen und nur den Webserver für die Öffentlichkeit zugänglich zu machen. Ich muss in der Lage sein, nur einer Handvoll Personen die Verbindung zum Datenbankserver zu erlauben.
Anstatt eine IP-Zulassungsliste zu verwenden, würde ich lieber ein VPN verwenden, um Personen durchzulassen, sodass der Zugriff auf dem Benutzer und nicht nur auf seinem Standort basiert. Ich tendiere zu etwas wie OpenVPN, damit ich bei der Server 2008 Web Edition bleiben kann. Muss ich:
- Den Webserver als VPN-Server verwenden und den Datenbankserver so einrichten, dass er nur Verbindungen vom Webserver akzeptiert? Ist ein zusätzlicher Schritt erforderlich, um Verbindungen zu beispielsweise db.mycompany.com über das VPN statt über eine andere Verbindung zu leiten? Ich kenne mich mit diesem Teil der Netzwerkinfrastruktur nicht aus. Oder,
- Einen VPN-Server auf dem Datenbankserver als einzige öffentliche Serververbindung einrichten, damit keine Routing-Probleme auftreten?
Ich weiß, das ist Network 101-Zeug, aber ich dachte, ich frage lieber, bevor ich da einfach durchstolpere, da es das Unternehmen ein wenig beeinträchtigen könnte. Vielen Dank!
Antwort1
Ich würde VPN zur Firewall verschieben (jedes einfache Cisco kann damit problemlos umgehen)
Richten Sie zwei Zonen ein: Ihre „Sichere Zone“, die Ihre Datenbank und Backend-Server enthält, sowie alles, was private oder vertrauliche Informationen speichert.
Dann IhreDMZfür Ihre Webserver. Wenn Ihr Webserver jemals gehackt wird (es ist eher eine Frage des „Wann“ als des „Ob“), haben sie keinen direkten Zugriff auf Maschinen mit vertraulichen Informationen.
Edit: Dies setzt voraus, dass Sie eine Firewall haben, die VPN unterstützt. (Sie haben nichts von einer Firewall erwähnt. Wenn nicht, würde ich das VPN auf dem Webserver installieren. Nicht auf demam bestenOption, könnte aber schlimmer sein. Ich schlage auch eine Art Protokollierungs-/Tripwire-Software für Ihre Webserver vor, falls diese kompromittiert werden, damit Sie so schnell wie möglich davon erfahren. Hoffentlich können Sie sie herunterfahren, bevor sie VPN-Schlüssel bekommen, Ihre Datenbanken beschädigen oder große Probleme verursachen :P.
