これは非常に基本的な質問であるべきであり、私はそれを調査しようとしましたが、確実な答えを見つけることができませんでした。
DMZにWebサーバーがあり、LANにMSSQLサーバーがあるとします。IMO、および私が常に正しいと想定してきたことは、DMZのWebサーバーがLANのMSSQLサーバーにアクセスできることです(ファイアウォールのポートを開く必要があるかもしれません) OK IMO)。
私たちのネットワーク担当者は、DMZからLAN内のMSSQLサーバーにアクセスできないと言っています。彼らは、DMZ内のすべてのものはLAN(およびWeb)からのみアクセス可能でなければならず、WebがLANにアクセスできないのと同じように、DMZがLANにアクセスすべきでないと言います。
だから私の質問は、誰が正しいのですか?DMZはLANに/からアクセスする必要がありますか?または、DMZからLANへのアクセスを厳しく禁止する必要があります。これはすべて、一般的なDMZ構成を前提としています。
回答:
適切なネットワークセキュリティでは、DMZサーバーは「信頼済み」ネットワークへのアクセスを許可されていません。信頼済みネットワークはDMZに到達できますが、その逆はできません。あなたのようなDBでバックアップされたWebサーバーの場合、これは問題になる可能性があります。そのため、データベースサーバーはDMZになります。DMZ内にあるからといって、パブリックアクセスが許可されているわけではありませんが、外部ファイアウォールはそれへのすべてのアクセスを防ぐことができます。ただし、DBサーバー自体はネットワーク内にアクセスできません。
MSSQLサーバーの場合、通常の機能の一部としてAD DCと通信する必要があるため、おそらく2番目のDMZが必要です(ドメイン統合ではなくSQLアカウントを使用している場合を除き、この時点では意味がありません)。その2番目のDMZは、最初にWebサーバーを介してプロキシされる場合でも、何らかのパブリックアクセスを必要とするWindowsサーバーのホームになります。ネットワークセキュリティの人々は、パブリックアクセスを経験しているドメインマシンがDCにアクセスすることを考えると、きびしくなります。ただし、Microsoftはこの問題に関して多くの選択肢を残していません。
理論的には、ネットワーキングの仲間と一緒です。他の配置とは、誰かがWebサーバーを危険にさらしたときに、LANに侵入することを意味します。
もちろん、現実には役割があります。DMZとLANの両方からアクセス可能なライブデータが必要な場合、選択肢はほとんどありません。おそらく、適切な妥協策は、MSSQLサーバーのようなサーバーが存続できる「ダーティな」内部サブネットであることをお勧めします。そのサブネットは、DMZとLANの両方からアクセスできますが、LANとDMZのいずれかへの接続を開始できないようにファイアウォールで保護されています。
ファイアウォールを通過させるのがDMZサーバーからMS-SQLサーバーへのSQL接続のみである場合は、問題になりません。