web-dev-qa-db-ja.com

2つの物理ネットワーク上にあるサーバー-悪い考えかどうか

詳細:

  1. Windows Server A(以降、「サーバー」と呼びます)は、企業ネットワークに存在します(Corporateとして参照)。

  2. 電気通信部門用に別の物理ネットワークが存在します。これをTelecomms Networkと呼びます。

  3. 別の部門のテレコミュニケーション「スペシャリスト」が、マネージャにサーバーに追加のネットワークカードを追加するよう説得しようとしています。次に、2番目のネットワークカードをTelecommsネットワークにプロビジョニングして、Telecommsユーザーがマシンとそのデータにアクセスできるようにすることを提案します。

私はノーと言い、DMZと適切なJump Server/Firewallルールの実装を検討する必要があると述べました。

発表された情報源からのいくつかのガイドと推奨事項で私の声明をバックアップする必要があります。たくさんの電気技師と一生懸命働いています。

(TL; DR)これが私の質問です。上記のシナリオの概要を明確に示すリソース/推奨事項はありますか? 2つのネットワーク上の1つのサーバー?

networkcorporate-policy
4
ShadowedR

あなたが与えるべき正当化は技術的なものではありません。あなたはリスクの観点からそれを言い表すべきです。

簡単に言えば:

  • 企業ネットワークには機密情報が含まれています。
  • そのネットワークに接続されているシステムとそれらを使用するユーザーには、ある程度のリスクが伴います。
  • 企業ネットワークのセキュリティ管理は、そのリスクを十分に軽減するように計算されています。
  • リスクが変化した場合は、セキュリティ管理策を再評価する必要があります。
  • 2つのネットワークをブリッジすると、攻撃対象領域が増え、ユーザーの行動がビジネスクリティカルなシステムに影響を与える可能性があるため、重大なリスクが発生します。
  • 追加のリスクを考慮しないと、セキュリティカバレッジが不足し、多大な経済的損失が発生する可能性があります。

お気づきのように、ジャンプボックスはこの状況に最適です。リスクレベルがまったく異なる場合、両方のネットワークに同じセキュリティ要件を適用するよりもはるかに安価です。

5
Polynomial

私はこの方法でそれに取り組むと思います:

物理ネットワークが分離しているのはなぜですか?

サーバーに別のNIC=をインストールし、それを他のネットワークに接続することにより、実質的に物理的におよびNetBIOSを介してネットワークをブリッジします。これにより、ネットワークを本質的に分離したまま維持するという全体の要点がなくなります。

サーバーに保存されているデータの機密性/分類とは何ですか?

これは、サーバー上のデータを保護するために展開する必要がある保護レベルを決定するのに役立ちます。

この戦いに負けた場合(追加のネットワークカードのコストは、適切なファイアウォールよりもはるかに安価です)/ DMZアーキテクチャ)リスクを減らすためにできることはまだいくつかあります。特定の個人が情報にアクセスするために必要な特定のポートとプロトコルのみを許可するようにIPsecを構成する。

公開されたソースから特定の引用を求めたのは知っていますが、これは「物事を分離しておく-必要に応じて情報にアクセスする」タイプのシナリオの基本的なセキュリティ哲学であるため、少し難しいかもしれません。

6
k1DBLITZ

あなたは間違いなくこれを拒否して正しい軌道に乗っています、そしてその理由には2つの主要なポイントがあります。 1つ目は運用性が高く、2つ目はリスクに関連しています。しかし結局のところ、重要なことは、これらのリスクを明らかにし、それらを関連するコスト/利益とバランスさせることです。ネットワークにすでにファイアウォールがあり、DMZが構成されている場合は、サーバーをDMZに追加して必要なポートを開くだけで十分です。また、このセットアップは多くの場合、デュアルホームまたはマルチホームと呼ばれ、それに関する詳細なドキュメントを見つけるのに役立ちます。

他の回答で述べたように、デュアルホームのWindowsシステムは問題を引き起こす可能性があります。プログラムはこれを予期していない可能性があり、このために問題が発生する場合があります。これは古い学校の問題だと言いたいのですが、かなり最近になって見たので、割り引くことはできません。基本的に、ネットワークにEdgeケースを追加しますが、実際にそうする理由はほとんどありません。

第二に、これを行うことを受け入れるリスクです。このホストを明らかに両方のネットワークに公開すると、攻撃者がそれらのネットワーク間をジャンプすることが容易になる可能性があります。ネットワークファイアウォール(またはロードバランサー)とDMZモデルを使用すると、攻撃対象領域を潜在的に減らすことができます。企業ネットワークはより敏感であるように思われるため、このシステムは、アタッカー。

残念ながら指摘できる具体的なベストプラクティスやドキュメントはありませんが、どのシステムでも同じことをお勧めします。テレコム側で厳密に必要なポートのみを公開し、このホストが企業ネットワークの残りの部分にできるだけ接続できないようにする必要があります。このようにして、ホストが危険にさらされた場合にネットワークをピボットする難易度が高くなります。ホストの強化についても検討する必要があります。デュアルホームサーバーとセキュリティリスクに関する情報は、いくつか検索して見つけることができます。 https://www.tofinosecurity.com/blog/dual-homed-machines-are-juiciest-targetshttp://www.experts-exchange.com/Security/Misc/Q_21610476.html

1
theterribletrivium

会社がリスクゾーンモデルに基づいてネットワークをセグメント化している場合は、2つのネットワークのリスク分類が異なるかどうかを確認することもできます。

セキュリティポリシーのどこかに、次のように記載する必要があります。必要な接続のみを許可し、セキュリティポリシーに従ってそれらの接続をログに記録して強制するファイアウォール以外の方法で、2つの別個のセキュリティゾーンをブリッジすることはできません。

運用の観点から見ると、パフォーマンスが複雑になったり、パフォーマンスや接続の問題が発生したときにお尻を噛んだりする可能性のあるエラーの原因になる可能性があると主張できます。

0
Sebastian B.