Máy chủ web trong DMZ có nên được phép truy cập MSSQL trong mạng LAN không?

Đây phải là một câu hỏi rất cơ bản và tôi đã cố gắng nghiên cứu nó và không thể tìm thấy câu trả lời chắc chắn.

Giả sử bạn có máy chủ web trong DMZ và máy chủ MSSQL trong mạng LAN. IMO và điều mà tôi luôn cho là đúng, đó là máy chủ web trong DMZ sẽ có thể truy cập máy chủ MSSQL trong mạng LAN (có thể bạn phải mở một cổng trong tường lửa, đó là ok IMO).

Các nhân viên mạng của chúng tôi hiện đang nói với chúng tôi rằng chúng tôi không thể có quyền truy cập vào máy chủ MSSQL trong mạng LAN từ DMZ. Họ nói rằng mọi thứ trong DMZ chỉ nên có thể truy cập TỪ mạng LAN (và web) và DMZ không nên có quyền truy cập vào mạng LAN, giống như web không có quyền truy cập vào mạng LAN.

Vì vậy, câu hỏi của tôi là, ai đúng? DMZ có nên truy cập vào / từ mạng LAN không? Hoặc, nên truy cập vào mạng LAN từ DMZ. Tất cả điều này giả định một cấu hình DMZ điển hình.

Bảo mật mạng đúng quy định rằng các máy chủ DMZ không nên có quyền truy cập vào mạng 'Đáng tin cậy'. Mạng đáng tin cậy có thể đến DMZ, nhưng không phải là cách khác. Đối với các máy chủ web được hỗ trợ DB như của bạn, đây có thể là một vấn đề, đó là lý do tại sao các máy chủ cơ sở dữ liệu kết thúc trong DMZ. Chỉ vì nó ở trong DMZ không có nghĩa là nó có quyền truy cập công khai, tường lửa bên ngoài của bạn vẫn có thể ngăn chặn tất cả quyền truy cập vào nó. Tuy nhiên, bản thân máy chủ DB không có quyền truy cập vào bên trong mạng.

Đối với các máy chủ MSSQL, có lẽ bạn cần DMZ thứ 2 do cần phải nói chuyện với AD DC như một phần hoạt động bình thường của nó (trừ khi bạn đang sử dụng tài khoản SQL thay vì tích hợp tên miền, tại thời điểm này là moot). DMZ thứ hai đó sẽ là nhà của các máy chủ Windows cần một số loại truy cập công khai, ngay cả khi nó được ủy quyền thông qua máy chủ web trước. Những người bảo mật mạng trở nên lúng túng khi họ xem xét các máy có tên miền trải qua truy cập công cộng có quyền truy cập vào các DC, đây có thể là một việc khó bán. Tuy nhiên, Microsoft không để lại nhiều sự lựa chọn trong vấn đề này.

Về lý thuyết, tôi đang kết nối với các bạn. Bất kỳ sự sắp xếp nào khác có nghĩa là khi ai đó xâm phạm máy chủ web, họ có một cửa vào mạng LAN của bạn.

Tất nhiên, thực tế phải đóng một phần - nếu bạn cần dữ liệu trực tiếp có thể truy cập từ cả DMZ và LAN thì bạn thực sự có vài lựa chọn. Có lẽ tôi muốn đề xuất rằng một sự thỏa hiệp tốt sẽ là một mạng con nội bộ "bẩn" mà các máy chủ như máy chủ MSSQL có thể sống. Mạng con đó có thể truy cập được từ cả DMZ và LAN nhưng bị chặn không cho phép bắt đầu kết nối với LAN và DMZ.

Nếu tất cả những gì bạn cho phép thông qua tường lửa là các kết nối SQL từ máy chủ DMZ đến máy chủ MS-SQL, thì đó không phải là vấn đề.

Tôi đang đăng câu trả lời của mình vì tôi muốn xem nó được bình chọn như thế nào ...

Máy chủ web trong DMZ sẽ có thể truy cập máy chủ MSSQL trong mạng LAN. Nếu không thể, làm thế nào để bạn đề xuất truy cập vào máy chủ MSSQL trong mạng LAN? Bạn không thể!