Desenvolvedor da Web aqui que ocasionalmente usa um chapéu de administrador de sistema e rede (pequena empresa). Atualmente, temos um único servidor hospedado executando o Windows Server 2003 que executa nosso servidor web (IIS/Coldfusion) e nosso servidor de banco de dados (SQL Server 2008). Bloqueamos o servidor SQL permitindo que apenas IPs específicos se conectem a ele. Não é o ideal, mas funcionou até agora.
Estamos migrando para dois servidores distintos e quero aproveitar a oportunidade para 'acertar as coisas' e fazer com que apenas o servidor web fique voltado para o público. O que preciso fazer é permitir que apenas algumas pessoas se conectem ao servidor de banco de dados.
Em vez de usar uma lista de permissões de IP, prefiro usar uma VPN para permitir a passagem das pessoas, de modo que o acesso seja baseado no usuário e não simplesmente na localização do usuário. Estou inclinado a algo como o OpenVPN, só para poder continuar com a edição Web do Server 2008. Eu:
- Usar o servidor web como um servidor VPN e configurar o servidor de banco de dados para aceitar apenas conexões do servidor web? Existe uma etapa extra necessária para fazer conexões, digamos, com a rota db.mycompany.com por meio da VPN, em vez de por meio de uma conexão diferente? Ignoro essa parte da infraestrutura de rede. Ou,
- Configurar um servidor VPN no servidor de banco de dados como a única conexão de servidor voltada ao público para que não haja problemas de roteamento com os quais lidar?
Eu sei que isso é coisa da Rede 101, mas pensei em perguntar antes de simplesmente errar, pois isso poderia afetar um pouco a empresa. Muito obrigado!
Responder1
Eu moveria a VPN para o firewall (qualquer Cisco básico pode lidar com isso perfeitamente)
Configure duas zonas, sua "zona segura", que contém seu banco de dados e servidores back-end, qualquer coisa que armazene informações privadas ou confidenciais.
Então seuDMZpara seu(s) servidor(es) web. Se o seu servidor web for hackeado (é mais uma questão de quando, do que se.), Eles não terão acesso direto a máquinas com informações confidenciais.
Editar: isso pressupõe que você tenha um firewall capaz de fazer VPN. (você não mencionou nada sobre firewall. Do contrário, eu colocaria a VPN no servidor web. Não omelhoropção, mas poderia ser pior. Eu também sugiro algum tipo de software de registro/tripwire para seus servidores da web, caso eles sejam comprometidos, você saberá disso o mais rápido possível. Esperamos que você possa desligá-los antes que obtenham chaves VPN, comecem a martelar seus bancos de dados ou comecem a causar grandes problemas: P.
