DMZ内のWebサーバーは、LAN内のMSSQLへのアクセスを許可されるべきですか?


12

これは非常に基本的な質問であるべきであり、私はそれを調査しようとしましたが、確実な答えを見つけることができませんでした。

DMZにWebサーバーがあり、LANにMSSQLサーバーがあるとします。IMO、および私が常に正しいと想定してきたことは、DMZのWebサーバーがLANのMSSQLサーバーにアクセスできることです(ファイアウォールのポートを開く必要があるかもしれません) OK IMO)。

私たちのネットワーク担当者は、DMZからLAN内のMSSQLサーバーにアクセスできないと言っています。彼らは、DMZ内のすべてのものはLAN(およびWeb)からのみアクセス可能でなければならず、WebがLANにアクセスできないのと同じように、DMZがLANにアクセスすべきでないと言います。

だから私の質問は、誰が正しいのですか?DMZはLANに/からアクセスする必要がありますか?または、DMZからLANへのアクセスを厳しく禁止する必要があります。これはすべて、一般的なDMZ構成を前提としています。

回答:


14

適切なネットワークセキュリティでは、DMZサーバーは「信頼済み」ネットワークへのアクセスを許可されていません。信頼済みネットワークはDMZに到達できますが、その逆はできません。あなたのようなDBでバックアップされたWebサーバーの場合、これは問題になる可能性があります。そのため、データベースサーバーはDMZになります。DMZ内にあるからといって、パブリックアクセスが許可されているわけではありませんが、外部ファイアウォールはそれへのすべてのアクセスを防ぐことができます。ただし、DBサーバー自体はネットワーク内にアクセスできません。

MSSQLサーバーの場合、通常の機能の一部としてAD DCと通信する必要があるため、おそらく2番目のDMZが必要です(ドメイン統合ではなくSQLアカウントを使用している場合を除き、この時点では意味がありません)。その2番目のDMZは、最初にWebサーバーを介してプロキシされる場合でも、何らかのパブリックアクセスを必要とするWindowsサーバーのホームになります。ネットワークセキュリティの人々は、パブリックアクセスを経験しているドメインマシンがDCにアクセスすることを考えると、きびしくなります。ただし、Microsoftはこの問題に関して多くの選択肢を残していません。


@Allen-あなたのネットワーキング関係者が何を言っているのかわかりません。@ Sysadmin1138はあなたに良いデザインを伝えています。
mfinni

うん、彼が言っていることを理解しています。私は彼が説明として、それは別のDMZに本当にいたとき、私たちMSSQLは、LAN上にあったことを過去に言われてきた私だと思う
アレン

これは、データベースサーバーがDMZに存在しないことを義務付けているPCIコンプライアンスにどのように適合しますか?それは...ニーズがLANまたは他のDMZのどちらかになるようにすることをSQLサーバーへのDMZへのアクセスにWebサーバを許可する、私が扱ってる問題だ
ITサポート

@ITサポートは、別のDMZレイヤーを追加することで解決される場合があります。Layer1はWebファーム、layer2はDBファームです。両方の層は、他の層からファイアウォールで保護されています。
sysadmin1138

4

理論的には、ネットワーキングの仲間と一緒です。他の配置とは、誰かがWebサーバーを危険にさらしたときに、LANに侵入することを意味します。

もちろん、現実には役割があります。DMZとLANの両方からアクセス可能なライブデータが必要な場合、選択肢はほとんどありません。おそらく、適切な妥協策は、MSSQLサーバーのようなサーバーが存続できる「ダーティな」内部サブネットであることをお勧めします。そのサブネットは、DMZとLANの両方からアクセスできますが、LANとDMZのいずれかへの接続を開始できないようにファイアウォールで保護されています。


2
これが私たちのすることです。パブリックWebサーバーはDMZにあります。クエリを実行するDBサーバーは別の DMZにあります。どちらも企業ネットワークに接続できませんが、企業ネットワークはそれらに接続できます。
mfinni

本当に?(皮肉ではなく質問)SQLサーバー(またはインスタンス)の1つに到達する方法があるというだけではありませんか。これはLANへの入り口ですが、かなり狭いものです。その後、ドアを開けるために、そのサーバー上のその正確なサービスを侵害する必要があります。非常に狭いドアだと思います。サーバーを2番目のDMZに配置すると、そのSQLのデータへのIISアクセスを侵害するすべてのユーザーが引き続き許可されます。
ごみ節


-1

投票結果を確認したいので、回答を投稿しています...

DMZのWebサーバーは、LANのMSSQLサーバーにアクセスできる必要があります。できない場合、LAN内のMSSQLサーバーへのアクセスをどのように提案しますか?できなかった!


「Could」と「Should」は非常に異なるものです。
ITGuy24

それでは、www層で実行されるデータベース駆動型Webサイトをどのように提案しますか?
アレン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.