Các máy chủ hệ thống lõi có thể kết nối với internet để bảo trì / hỗ trợ không?

Một vài máy chủ của chúng tôi có giấy phép bảo trì Oracle. Nhà cung cấp phần cứng của chúng tôi hỏi có kết nối internet trong phòng máy chủ. Chính sách của chúng tôi là tất cả các máy trong phòng đó được cách ly với internet vì lý do bảo mật. Nhưng anh chàng bảo trì hỏi "vậy thì làm thế nào chúng ta có thể thực hiện công việc bảo trì trên máy chủ của bạn?"

Câu hỏi của tôi là, các máy chủ của chúng tôi có cần kết nối internet để bảo trì được thực hiện như một hệ thống xác minh giấy phép hay không. Hoặc anh ấy có thể làm điều đó ngoại tuyến? Có phải đó là một rủi ro nếu có kết nối internet với máy chủ sản xuất của chúng tôi không?

Bạn thường cần tải xuống các bản vá từ internet sau đó áp dụng chúng cho máy chủ. Tuy nhiên, thật hợp lý khi có một bước trung gian sao chép các bản vá vào một vị trí trung gian (thậm chí là DVD) để đi giữa internet và các máy chủ cơ sở dữ liệu.

Nếu họ chỉ muốn một máy riêng biệt trong phòng máy chủ có thể kết nối với internet (ví dụ để đọc ghi chú vá), đó là một lựa chọn khác.

Cuối cùng, có một sự khác biệt giữa việc có một trình duyệt chạy trên máy chủ có thể kết nối với internet và có máy chủ thực sự có thể truy cập như một máy chủ từ internet.

Tất cả phụ thuộc vào mức độ an toàn mà bạn muốn / cần phải được.

Máy chủ của bạn được kết nối với mạng có các thiết bị khác có truy cập Internet. Chính xác? Tôi chắc chắn những người khác sẽ không đồng ý nhưng tôi tin rằng bảo mật được cung cấp bằng cách không cho phép những máy chủ đó truy cập Internet trực tiếp là ảo tưởng hơn bất cứ điều gì khác.

Chúng tôi bảo trì rất nhiều trên các máy chủ của khách hàng không có quyền truy cập internet. Chúng tôi phải lấy tất cả các bản cập nhật / bản vá / phần mềm chúng tôi cần cho lần truy cập đó trên CD / USB Stick. (Cho phép các bên thứ 3 mang theo USB / CD là một rủi ro bảo mật trong chính nó)

Bạn luôn có thể sử dụng iptables để định cấu hình IP nguồn / đích chính xác: Các cặp cổng mà bạn muốn tiếp tục mở.

Bằng cách đó, ngay cả khi máy chủ được khám phá qua mạng WAN, bạn có thể đảm bảo rằng chỉ những IP đáng tin cậy + thông tin xác thực mới có quyền truy cập vào nó.

Ngoài ra, bạn cũng có thể sử dụng cặp khóa ssh công-tư , chỉ có thể được chia sẻ giữa hai bạn.

Tất cả các máy chủ của bạn phải ở trong DMZ hoặc ít nhất là phía sau tường lửa. Bất kỳ tường lửa nào cũng có thể được cấu hình để cho phép các kết nối đi từ bất kỳ máy chủ nào trong số này (để họ có thể tự kiểm tra và tải xuống các bản vá bảo mật và các bản cập nhật khác). Và sau đó tùy thuộc vào quản trị viên hệ thống của bạn để định cấu hình tường lửa sao cho một vài kết nối đang hoạt động rất cụ thể được cho phép. Nếu chúng chỉ cần bảo trì thường xuyên, chúng có thể bị vô hiệu hóa sau khi bảo trì kết thúc.

Chúng tôi sử dụng cổng linux cho công việc này, với iptables cho tường lửa. Tuy nhiên, tường lửa phần cứng tiêu chuẩn của bạn sẽ làm chính xác như vậy.

Câu hỏi là - Có rủi ro trong việc cho phép các máy chủ sản xuất có kết nối HTTP / S ra ngoài Internet. Câu trả lời ngắn gọn là không. Câu trả lời dài hơn rằng rủi ro bảo mật là rất nhỏ đến mức nó vượt xa chi phí (về thời gian) để quản lý các máy chủ đó.

Xem xét các rủi ro cho phép truy cập:

1. Quản trị viên tải phần mềm độc hại từ Internet về máy chủ
2. Một máy chủ bị xâm nhập tải xuống mã virus bổ sung hoặc tải thông tin bí mật lên Internet

Điểm đầu tiên nó giảm nhẹ bằng cách hạn chế truy cập Internet vào các trang web đã biết và lý tưởng nhất là không cho phép duyệt web. Ngoài ra, có một sự tin tưởng nhất định vào quản trị viên của bạn để không hành động theo cách độc hại.

Về điểm thứ hai, xem xét rằng máy chủ đã bị xâm phạm trong một số thời trang, cho dù việc truy cập Internet có sẵn hay không là một điểm cần thiết. Kẻ tấn công đã tìm ra cách để lấy mã vào hệ thống của bạn, điều đó có nghĩa là chúng có thể lấy thêm mã vào hệ thống đó hoặc lấy dữ liệu từ nó.

Rõ ràng, tất cả có thể phụ thuộc vào các trường hợp cụ thể (như đáp ứng các yêu cầu nhất định của khách hàng hoặc quy định).

Những loại máy chủ nào cần những kết nối?

Nếu đó chỉ là kết nối HTTP đến trang web của Oracle, tại sao bạn không cho họ sử dụng proxy web?

Truy cập VPN là đặt cược tốt nhất của bạn!

câu trả lời số 1 là tốt nhất về mặt lý thuyết - mức độ bảo mật của mạng bằng với mức bảo mật của máy tính yếu nhất được kết nối với mạng đó

theo quan điểm của tôi, theo quan điểm của tôi:

• chia mạng nội bộ trong các mạng con dot1q
• cổng linux -> tất cả lưu lượng giữa các mạng con đi qua nó và nó có thể được kiểm soát dễ dàng (và thực tế là, với quyền truy cập vào các máy chủ lõi chỉ dành cho các cổng ứng dụng và máy khách cần thiết)
• kết nối bên ngoài chỉ được thực hiện thông qua vpn được mã hóa (pptp với mschap hoặc openvpn)
• các máy chủ cốt lõi chỉ truy cập internet trên cơ sở "cần" (bảo trì, tải xuống các bản nâng cấp, v.v.) - cũng được cung cấp cho chúng thông qua cổng - với chính sách DROP

Ngay cả khi bạn cho phép kết nối internet cho một số máy chủ, hãy cho phép họ sử dụng OpenDNS làm máy chủ DNS của họ.