Bảo vệ:
Ngoài câu trả lời của Sander, tôi sẽ nói thêm rằng ở một số mức độ tuân thủ PCI nhất định, đây là một yêu cầu :
Các máy chủ cơ sở dữ liệu và web riêng biệt CHD được lưu trữ hàng loạt trong cơ sở dữ liệu, làm cho nó trở thành mục tiêu có giá trị cao cho kẻ tấn công. Máy chủ cơ sở dữ liệu riêng biệt có nghĩa là quyền truy cập có thể được kiểm soát chặt chẽ (hạn chế tiếp xúc). Yêu cầu theo Mục 1 của PCI DSS.
Nguồn: http : //www.f Focusonpci.com/site/index.php/PCI-101/technical-requirements.html
Bằng cách tách biệt nhiệm vụ web và cơ sở dữ liệu, bạn sẽ hạn chế tiếp xúc. Thông thường, db của bạn nằm trong một phân khúc riêng của mạng và không thể truy cập công khai.
Một kết nối VPN tĩnh cũng được đề xuất, trong PCI, giữa web / db của bạn và phát hiện xâm nhập được đề xuất mạnh mẽ trên thiết bị mạng của bạn. Trong trường hợp thỏa hiệp, db sẽ bị cô lập và kết nối VPN bị chấm dứt, mặc dù ứng dụng và khóa mã hóa của bạn hiện đã bị xâm phạm, quyền truy cập vào kho lưu trữ dữ liệu đã bị khóa và không thể truy cập được.
Tính sẵn sàng cao / Phục hồi thảm họa:
Sander về điểm ở đây. Đi bầu anh lên. Tôi sẽ nói thêm rằng trong trường hợp thậm chí là một nhiệm vụ bảo trì nhỏ như sao lưu hệ thống tập tin hoặc cơ sở dữ liệu, thì tốt nhất là db của bạn sẽ bị giới hạn chỉ đọc trong một thời gian. Trong các trường hợp cực đoan, tôi đã thấy thời gian chờ khóa và hàng đợi xử lý lấp đầy rằng tất cả các kết nối có sẵn được xếp hàng hoặc bị hủy. Các trang web "đi xuống", có hiệu quả.
Bạn có thể giảm thiểu điều này bằng cách tách db và lên lịch cho máy chủ web của bạn để đặt trang web vào chế độ bảo trì trong các cửa sổ sao lưu này mà không có bất kỳ hậu quả nào đối với hệ thống tệp của máy chủ web.