가끔씩 시스템 및 네트워크 관리자 모자를 써야 하는 웹 개발자입니다(소규모 회사). 현재 우리는 웹 서버(IIS/Coldfusion)와 데이터베이스 서버(SQL Server 2008)를 모두 실행하는 Windows Server 2003을 실행하는 단일 호스팅 서버를 보유하고 있습니다. 특정 IP만 연결하도록 허용하여 SQL 서버를 잠급니다. 이상적이지는 않지만 지금까지는 효과가 있었습니다.
우리는 두 개의 서로 다른 서버로 이동하고 있으며 '일을 올바르게 처리'하고 웹 서버만 대중에게 공개할 수 있는 기회를 갖고 싶습니다. 내가 할 수 있어야 하는 것은 소수의 사람들만 데이터베이스 서버에 연결하도록 허용하는 것입니다.
IP 허용 목록을 사용하는 대신 VPN을 사용하여 사람들이 단순히 사용자의 위치가 아닌 사용자를 기반으로 액세스할 수 있도록 하는 것을 선호합니다. 저는 Server 2008 웹 에디션을 계속 사용할 수 있도록 OpenVPN과 같은 쪽으로 기울고 있습니다. 나는:
- 웹 서버를 VPN 서버로 사용하고 웹 서버의 연결만 허용하도록 데이터베이스 서버를 설정하시겠습니까? 예를 들어 다른 연결을 통하지 않고 VPN을 통해 db.mycompany.com 경로에 연결하는 데 필요한 추가 단계가 있습니까? 저는 네트워크 인프라의 이 부분에 대해 무지합니다. 또는,
- 처리할 라우팅 문제가 없도록 데이터베이스 서버의 VPN 서버를 유일한 공용 서버 연결로 설정하시겠습니까?
나는 이것이 Network 101에 관한 것이라는 것을 알고 있지만 회사에 약간의 영향을 미칠 수 있기 때문에 실수하기 전에 먼저 물어봐야 한다고 생각했습니다. 매우 감사합니다!
답변1
VPN을 방화벽으로 옮기겠습니다. (모든 기본 시스코는 이를 잘 처리할 수 있습니다.)
데이터베이스 및 백엔드 서버, 개인 정보 또는 민감한 정보를 저장하는 모든 것을 포함하는 "보안 영역"이라는 두 개의 영역을 설정하십시오.
그럼 당신의DMZ귀하의 웹서버를 위해. 웹 서버가 해킹당한다면(언제, 그렇다면 문제가 더 중요합니다.) 민감한 정보가 있는 시스템에 직접 액세스할 수 없습니다.
편집: 이는 VPN을 수행할 수 있는 방화벽이 있다고 가정합니다. (방화벽에 대해 언급하지 않으셨습니다. 언급하지 않으신다면 웹서버에 VPN을 설치하겠습니다.최상의옵션이지만 더 나쁠 수도 있습니다. 또한 웹 서버가 손상될 경우를 대비해 웹 서버를 위한 일종의 로깅/트립와이어 소프트웨어를 제안합니다. 그러면 가능한 한 빨리 이에 대해 알게 될 것입니다. VPN 키를 받기 전에 종료하거나 데이터베이스를 망치거나 큰 문제를 일으키기 시작하기를 바랍니다. P.
