Desarrollador web aquí que ocasionalmente tiene que usar un sombrero de administrador de sistemas y redes (pequeña empresa). Actualmente tenemos un único servidor alojado que ejecuta Windows Server 2003 que ejecuta tanto nuestro servidor web (IIS/Coldfusion) como nuestro servidor de base de datos (SQL Server 2008). Bloqueamos el servidor SQL permitiendo que solo se conecten IP específicas. No es ideal, pero hasta ahora ha funcionado.
Estamos cambiando a dos servidores distintos y quiero aprovechar la oportunidad para "hacer las cosas bien" y hacer que sólo el servidor web esté de cara al público. Lo que necesito poder hacer es permitir que sólo un puñado de personas se conecten al servidor de la base de datos.
En lugar de usar una lista de IP permitidas, preferiría usar una VPN para permitir el paso a las personas, de modo que el acceso se base en el usuario y no simplemente en su ubicación. Me inclino por algo como OpenVPN, para poder seguir con la edición web Server 2008. ¿Yo:
- ¿Utilizar el servidor web como servidor VPN y configurar el servidor de base de datos para que solo acepte conexiones desde el servidor web? ¿Se requiere algún paso adicional para realizar conexiones a, por ejemplo, la ruta db.mycompany.com a través de la VPN en lugar de a través de una conexión diferente? Ignoro esta parte de la infraestructura de red. O,
- ¿Configurar un servidor VPN en el servidor de la base de datos como la única conexión de servidor pública para que no haya problemas de enrutamiento con los que lidiar?
Sé que esto es algo de Network 101, pero pensé en preguntar antes de cometer un error, ya que podría afectar un poco a la empresa. ¡Muchas gracias!
Respuesta1
Movería la VPN al firewall (cualquier Cisco básico puede manejar esto perfectamente)
Configure dos zonas, su "zona segura", que contiene su base de datos y servidores backend, cualquier cosa que almacene información privada o confidencial.
Entonces tuDMZpara su(s) servidor(es) web. Si su servidor web alguna vez es pirateado (es más una cuestión de cuándo, que si). No tienen acceso directo a máquinas con información confidencial.
Editar: esto supone que tiene un firewall capaz de hacer VPN. (No mencionaste nada sobre un firewall. Si no lo haces, pondría la VPN en el servidor web. No elmejoropción pero podría ser peor. También sugiero algún tipo de software de registro/tripwire para sus servidores web, en caso de que se vean comprometidos, lo sabrá lo más rápido posible. Con suerte, puedes cerrarlos antes de que obtengan claves VPN, comiencen a dañar tus bases de datos o comiencen a causar grandes problemas: P.
