您如何向专家解释数据库服务器不应驻留在DMZ中？

#1 楼

SANS的“确保网络安全使用数据库”（http://www.sans.org/reading-room/whitepapers/application/making-network-safe-databases-24）在某些部分中有些过时，但提供了一些注意事项。在您追求的方向上提供体面的“傻瓜”指导水平。

您也可以在美国NIST的资源中心（http://csrc.nist.gov/）上戳一下自己。我认为ISO的ISO / IEC 27033-2：2012也将成为主题，但是手边没有确定的副本。

您正试图将最敏感的服务器（数据库服务器）与最不敏感的服务器（因此容易受到攻击）分离/隔离。深度”方法，该方法旨在
在可能的情况下阻止攻击，而
b）在没有攻击时延迟其进展（以及访问重要内容）。

理想情况下，所有内容总是经过加固和修补，服务器仅侦听所需端口上的流量，并且只有来自允许的设备，未经授权的侦听器才能访问所有“传输中”的流量（通过加密和/或隔离） ），并对所有内容进行入侵和完整性监控。

如果一切都可以100％确定，那么，您的“反对派”已尽可能解决了上面的a）点。很好的开始，但是b）点呢？

如果Web服务器确实受到威胁，那么您建议的体系结构将处在更好的位置。它们的潜在攻击足迹和向量比所需的要大得多。

将数据库与Web服务器分离的理由与他们接受的将Web服务器与LAN分离的理由没有什么不同。更直率的说：如果他们如此确信受损的Web服务器不会对同一安全区域中的其他系统造成威胁，那么为什么他们认为完全需要DMZ？

遇到您的情况真令人沮丧。至少，在您的职位上，我将创建一份风险备忘录，概述您的疑虑和建议，并确保他们能够理解。不管怎样，CYA。

#2 楼

就像，“把珠宝盒放在屋子外面，这样劫匪就不会打扰进电视了吗？”


是的，就是这样。

如果相对而言，如果您不关心数据库的价值，那么确保将其保留在外部是有道理的-如果假设应用程序非常安全，但是您需要无论出于何种原因而又不想保护它，则将其作为隔离此可怕的不安全系统与所有其他内部系统的一种方式是有意义的。

另一方面，确实没有任何理由期望SUCH是一个不安全的应用程序，该应用程序允许完全数据库服务器接管。同样也没有真正的理由使用“暴露”作为“隔离”的替代品-也有简单的解决方案可以做到这一点。

当涉及到它时，听起来好像是两种可能的情况之一：


这些所谓的“专家”真的很无能为力。
这里还有其他业务需求需要折衷。

我认为您的比喻效果很好。如果他们然后告诉您“实际上，那些珠宝是假的，哦，顺便说一句，电视真的是60英寸的5K定制工作，带有金边”，那么这可能是一个明智的权衡（尽管这样做还是比较好） ）。
否则，由于他们的工作是缺乏知识，因此很可能无法解释。

#3 楼

如果数据库中包含卡的详细信息，则很容易会说您没有满足PCI DSS对适当保护的要求。

它也无法通过单个故障点的健全性检查，并保护了您的核心资产。增加保护层？行业的良好实践是要有分层的安全区域。

您可以将它们指向PCI，ISF的良好实践指南等。

#4 楼

如果您建议数据库服务器从与Web服务器相同的安全区域移到与某些内部系统相同的安全区域，那么可以合理地得出结论，您正在降低安全性。

如果现状是Web服务器和数据库服务器都在DMZ中，并且不允许从DMZ到内部网络建立连接，那么将数据库服务器从DMZ迁移到内部网络将需要允许从DMZ到内部网络的连接。这将意味着您在降低内部网络的安全性的同时并未获得对数据库的显着更好的保护。 ），那么您就不会希望内部网络受到任何损害而直接访问数据库。一个安全区域到另一个安全区域，而您要做的是创建一个全新的安全区域。要真正做到这一点，您实际上必须购买一个额外的防火墙，并将其放置在DMZ和额外的安全网络之间。它提供的额外安全性。

#5 楼

AvID已经涵盖了主要问题，但是从一个稍微不同的角度来看，大多数防火墙将支持多个接口，并可以控制接口之间的流量。

配置多个接口以承载每个防火墙解决方案的各个方面（前端，中间件，后端）将降低从Web服务器向数据库造成的威胁的风险，而无需多个物理防火墙（如果这是其他团队所担心的……这是成本问题吗？ ），而没有引入通往内部网络的途径。要解决吗？

如果失败，基​​于历史性Web服务器漏洞的假设情景又会如何呢？这将导致同一网段上的任何其他服务器继续受到损害（包括ng数据库）以及分层的DMZ如何防止进一步的折衷，大概会产生货币成本，因此很容易说明成本/努力的收益？

#6 楼

假设您试图说服他们这样做，而不是（有必要）说服他们是正确的：

说明当他们的大客户和潜在客户进行安全审核时，他们将失败。 >
如果障碍是业务，那将是唯一充分且唯一必要的理由。

#7 楼

一个很好的论点是，将Web服务器和数据库服务器划分为单独的DMZ的门槛实际上并不是很高。 VLANs和VLANs都位于内部安全LAN之外，防火墙规则控制对从Internet到Web服务器，从Web服务器到数据库服务器的最起码的最低限度端口的访问，并且根本没有从Web服务器到安全局域网。

防火墙还可以阻止从互联网到数据库服务器的任何直接访问，并严格控制从数据库服务器到安全局域网的任何访问（出于身份验证或其他目的） ）。

这样，攻击者甚至无法直接进入包含数据库服务器的网络。

如果它们在您的一台Web服务器上抢滩，仍然不在同一网络上，不受限制地攻击您的数据库错误，并且如果您具有任何类型的日志监视功能，则在攻击者有足够时间攻击其他任何东西之前，您应该收到有关Web服务器损坏的通知。

即使他们然后经过一段时间后，通过Web服务器用来与数据库通信的一个开放端口，设法破坏数据库服务器，这些时间浪费的时间相对较少，在此期间您已经意识到攻击，而不是将所有的时间都花在安全的LAN上。

它们甚至无法从Web服务器所在的DMZ到达LAN，因此它们只能以任何形式进入LAN根本就是跳到另一个DMZ中受保护的数据库服务器。您的数据库服务器可能会或将被绑定到某种企业认证系统（Active Directory或其他）中。您是否要在与公共Web服务器相同的DMZ中使用该功能？

如果我对安全问题足够关注，可以在我的家中创建访客和DMZ子网，有地方放置“事物”（“物联网”）而不直接将它们放在我的LAN上，那么数十亿美元的顾虑肯定可以负担得起在重要的Web服务器和数据库服务器上进行相同操作的时间和精力。我在办公室用一堆数千美元的Procurve管理的L2 / L3交换机，一个SonicWall UTM和一个Ubiquiti EdgeMax路由器组合在一起进行此操作。在家里，我有一个售价100美元的Ubiquiti EdgeRouter Lite，一个售价100美元的可管理8端口HP交换机和一个支持多个VLAN的Ubiquiti Unifi AP，我的设置完全能够满足我们的要求。

而且我很安心，不用担心我的网络连接DVR，打印机，BluRay播放器，恒温器以及其他任何东西，运行谁知道什么越野车过时的固件以及谁知道什么未被发现的漏洞，可能会被黑客入侵并通过网络连接到我的计算机和个人文件。每个防火墙使用单独的物理硬件。如今，SDN（软件定义网络）风靡一时，对吗？

即使是$ 100的EdgeRouter Lite也可以通过路由器转发近1 Gbps，并支持所有这些路由器之间的多个虚拟接口和防火墙规则接口。

一个很小的盒子实际上是装满防火墙的整个篮子。还有一些具有更强大的路由性能。

即使是类似Ubiquiti EdgeRouter Pro 8之类的产品，也只需375美元即可每秒为您提供200万个数据包，如果需要，每个接口还具有8个物理接口和VLAN子接口。如果您需要更高的性能，请向Brocade（Vyatta），Cisco，Juniper等寻求更大的硬件。或类似Dell / Sonicwall的SuperMassive系列。或在功能强大的多核Xeon服务器上运行Vyatta虚拟路由器。安全隔离，您可能应该有，显然要在这里。

#8 楼

告诉您的直接经理，您无权代表公司承担该风险。指出数据库中数据的价值为$ xxx，并且该风险接受程度必须来自获得授权的人，并请他拥护让执行管理层成员签署风险接受书。

要评估数据的价值，请确定数据是否与PCI DSS相关（如果是，请查看Target / Home Depot在销售损失，信用监控方面产生的每位客户成本） ，欺诈）或PII（如果是PII）（如果是，请查看医疗系统因失去信心，身份盗用监控，声誉损失而造成的每位患者的财务损失），或者这是贵公司的竞争优势（商业秘密） ，尚未发布的财务，知识产权），则数据的价值可以是公司的当前估值。

如果直接下达了代表公司承担风险的命令，则可能会要求您以公司高管的身份行事，因此，您有义务（可能一项法律义务），指出您是被要求履约的非指定人员，并应将此管理链简要介绍给公司董事会。准备进行重大的打击，并花费大量的政治资本来使其广为人知。

祝你好运！