Servidor situado en dos redes físicas: mala idea o no

La justificación que debe dar no es técnica. Deberías expresarlo en términos de riesgo.

En pocas palabras:

• La red corporativa contiene información confidencial.
• Los sistemas conectados a esa red y los usuarios que los usan tienen un cierto nivel de riesgo asociado.
• Los controles de seguridad en la red corporativa se han calculado para mitigar suficientemente ese riesgo.
• Cualquier cambio en el riesgo significa que los controles de seguridad deben ser reevaluados.
• El puenteo entre las dos redes conlleva un riesgo significativo, debido a la superficie de ataque adicional y al potencial del comportamiento del usuario para afectar los sistemas críticos para el negocio.
• Si no se tiene en cuenta el riesgo adicional, se producirá un déficit de cobertura de seguridad, lo que dará lugar a un potencial de grandes pérdidas financieras.

Como notaste, los cuadros de salto son ideales para esta situación. Son mucho más baratos que tratar de aplicar los mismos requisitos de seguridad a ambas redes cuando están en niveles de riesgo completamente diferentes.

Creo que lo abordaría de esta manera:

  

¿Por qué existe una separación de las redes físicas?

Al instalar otra NIC en el servidor y conectarla a la otra red, en efecto, estará conectando las redes, físicamente ya través de NetBIOS. Esto hace que todo el punto de mantener las redes separadas sea esencialmente discutible.

  

¿Cuál es la sensibilidad / clasificación de los datos almacenados en el servidor?

Esto ayudaría a determinar qué nivel de protección debe implementarse para proteger los datos en el servidor.

Si pierde esta batalla (el costo de una tarjeta de red adicional es MUCHO más barato que un firewall adecuado / arquitectura DMZ), todavía hay algunas cosas que puede hacer para ayudar a reducir el riesgo, como configurar IPsec para que solo permita la puertos específicos & protocolos requeridos para individuos específicos para acceder a la información.

Sé que solicitó citas específicas de fuentes publicadas, pero creo que pueden ser un poco difíciles, ya que esta es una filosofía de seguridad fundamental de "mantener las cosas separadas: acceso a la información según el escenario del tipo de necesidad de saber".

Definitivamente estás en el camino correcto rechazando esto, y hay dos puntos principales para explicar por qué. El primero es más operativo, el segundo está más relacionado con el riesgo. En última instancia, sin embargo, lo importante es eliminar estos riesgos y equilibrarlos con el costo / beneficio involucrado. Si su red ya tiene un firewall y DMZ configurados, entonces debería ser lo suficientemente fácil para agregar el servidor a la DMZ y abrir los puertos necesarios. Si no lo hace, podría ser mucho trabajo solo para un sistema. Además, esta configuración a menudo se denomina doble o múltiple, lo que puede ayudarlo a encontrar más documentación al respecto.

Como se mencionó en otras respuestas, a veces un sistema de Windows dual puede causar problemas. Es posible que los programas no esperen esto, y parece que a veces puede tener problemas debido a esto. Me gustaría decir que este es un problema de la vieja escuela, pero lo he visto recientemente, así que no puedes descartarlo. Básicamente, estás agregando un caso de ventaja a tu red, y rara vez hay una razón real para hacerlo.

En segundo lugar, está el riesgo que estarías aceptando al hacer esto. Obviamente, la exposición de este host en ambas redes hace que sea más fácil para un atacante saltar entre ellas. El uso de un firewall de red (o equilibrador de carga) y el modelo DMZ le permite reducir potencialmente la superficie de ataque. Parece que la red corporativa es más sensible, por lo que este sistema sería un objetivo obvio para un atacante.

Desafortunadamente, no tengo ninguna práctica o documentación específica que pueda señalar, pero recomendaría lo mismo para cualquier sistema. Debe exponer únicamente los puertos estrictamente necesarios en el lado de las telecomunicaciones y asegurarse de que este host tenga la menor conectividad posible con el resto de la red corporativa. De esta manera, aumenta la dificultad de girar alrededor de su red si el host está comprometido. También debe considerar el endurecimiento del host también. Puede encontrar información sobre servidores de doble domicilio y riesgos de seguridad con algunas búsquedas: enlace enlace

Si su empresa está segmentando sus redes según un modelo de zona de riesgo, también podría verificar si las dos redes tienen diferentes clasificaciones de riesgo.

En algún lugar de su política de seguridad debe decir: no se le permite conectar dos zonas de seguridad separadas por ningún otro medio que no sea un Firewall que solo permite las conexiones necesarias y está registrando y aplicando esas conexiones de acuerdo con la política de seguridad.

Desde un punto de vista operativo, podría argumentar que introduce una mayor complejidad y, por lo tanto, posibles fuentes de errores que lo morderán por completo cuando exista un problema de rendimiento o conectividad.