いくつかのサーバーにはOracleメンテナンスライセンスがあります。私たちのハードウェアベンダーは、サーバールームにインターネット接続があったと尋ねました。セキュリティ上の理由から、その部屋のすべてのマシンはインターネットから隔離されています。しかし、メンテナンス担当者は「それでは、どのようにしてサーバーのメンテナンス作業を行うことができるのでしょうか?」と尋ねました。
私の質問は、ライセンス認証システムのようにメンテナンスを実行するために、サーバーにインターネット接続が必要かどうかです。または、彼はそれをオフラインで行うことができますか?本番サーバーへのインターネット接続があった場合、それ自体リスクではありませんか?
回答:
通常、インターネットからパッチをダウンロードして、サーバーに適用する必要があります。ただし、インターネットとデータベースサーバー間を移動するために、中間の場所(DVDを含む)にパッチをコピーする中間ステップを設けることは合理的です。
インターネットに接続できるサーバールームに別のマシンが必要な場合(パッチノートを読む場合など)は、別のオプションです。
最後に、インターネットに接続できるサーバー上でブラウザを実行することと、実際にサーバーをインターネットからサーバーとしてアクセスできるようにすることには違いがあります。
それは、あなたがどれだけ安全であるか/必要であるかにかかっています。
サーバーは、インターネットにアクセスできる他のデバイスがあるネットワークに接続されています。正しい?他の人も同意しないだろうと確信していますが、これらのサーバーに直接インターネットアクセスを許可しないことで得られるセキュリティは、他の何よりも幻想的です。
すべてのサーバーはDMZ内にあるか、少なくともファイアウォールの内側にある必要があります。これらのサーバーからの発信接続を許可するように、ほぼすべてのファイアウォールを構成できます(そのため、セキュリティパッチやその他の更新を独自に確認してダウンロードできます)。そして、非常に具体的ないくつかの着信接続が許可されるようにファイアウォールを設定するのはシステム管理者次第です。定期的なメンテナンスにのみ必要な場合は、メンテナンスが終了したら無効にすることができます。
このジョブには、ファイアウォール用のiptablesとともにLinuxゲートウェイを使用します。ただし、標準のハードウェアファイアウォールはまったく同じことを行います。
問題は、実稼働サーバーがインターネットへのアウトバウンドHTTP / S接続を許可することにリスクがあるかどうかです。短い答えはNOです。セキュリティリスクが非常に小さいため、これらのサーバーを管理するためのコスト(時間の面)を上回るという長い回答。
アクセスを許可するリスクを考慮してください。
最初のポイントは、既知のサイトへのインターネットアクセスを制限し、理想的にはWebブラウジングをまったく許可しないことで軽減しました。さらに、悪意のある方法で行動しないという特定の信頼が管理者にあります。
2番目の点では、サーバーが何らかの方法で既に侵害されていることを考えると、インターネットアクセスが利用可能かどうかが重要なポイントです。攻撃者は既にシステムにコードを取得する方法を発見しています。つまり、システムに追加のコードを取得したり、システムからデータを取得したりできます。
明らかに、これはすべて特定の状況(特定の顧客や規制要件を満たすなど)に依存する場合があります。
VPNアクセスが最善の策です!
答え#1は理論的には最高です-ネットワークのセキュリティレベルは、そのネットワークに接続されている最も弱いコンピューターのセキュリティレベルと同じです
私の観点では、実践的なアプローチがあります:
一部のサーバーでインターネット接続を許可している場合でも、OpenDNSをDNSサーバーとして使用できるようにします。