ビジネスアプリ用のオンラインSQL Serverデータベース。セキュリティに関する考慮事項
ビジネスアプリケーションは、SQL Serverデータベースで動作します。 SQL Server 2008がローカルネットワークのコンピューターの1つにインストールされています。技術的には、ホスティングプロバイダーのデータセンターにSQL Server 2008データベースが配置されているサーバーコンピューターと、サーバーのIPアドレスによってインターネット経由でデータベースにアクセスできる場合、このアプリは問題なく動作します。
そのようなアプローチの長所と短所は何ですか?データベースをインターネットに移動する際に注意すべきセキュリティ上の考慮事項は何ですか?
インターネット上で機密性の高いサーバーを公開することは決して良い考えではありません。実際には利点はありませんが、欠点のみがあります。
パブリックIPがあるので、誰でもあなたのマシンをスキャンして古いソフトウェアを探すことができます。ゼロデイ脆弱性の悪用、(d)実行など.
ここに行く最善の方法は、VPNまたはVLANを作成して、すべてのサービスにVPN/VLAN内からのみアクセスできるようにすることです。すべてのビジネスアプリは、 VPN/VLANの一部。
もちろん、欠点は、あなたがvpn/vlanを実装する必要があることです。しかし、セキュリティの観点からは、それが進むべき道です。
私が働いている場所には、パブリックIPアドレスのデータベースがありました。しかし、非常に限られた他のIPアドレスからのアクセスのみを許可するファイアウォールが設置されていました。他の誰かがわかる限り、アドレスの反対側には何もありません。
技術的には、要求のIPアドレスを偽装することは可能ですが、そのようなシナリオでは応答を取得するのは困難です(なりすましのIPにアクセスする傾向があるため)。 DBの特定のエクスプロイトには十分な場合があります。ただし、サーバーと通信できるIPアドレスと、エンドソフトウェアとは何かについての内部知識が必要です。
それは十分に安全であり、何年も問題なく動作し、モデルのセキュリティ問題ではなく仮想化への移行のために移動しました。
余談ですが、Amazon AWSにデータをデプロイする場合は、物理ネットワークではなくファイアウォール設定によるセキュリティである同様のモデルに対応する必要があります。