Espero que esto no sea una duplicidad de ninguna de las preguntas relacionadas con la base de datos / DMZ, pero no creo que ninguna de ellas haya respondido a mi pregunta lo suficiente.
Supongamos lo siguiente
- Se está utilizando un servidor web para intranet e Internet
- El sistema anterior requiere la sincronización activa del directorio, pero no es necesariamente compatible con AD LDS
- Por lo tanto, la aplicación web antes mencionada debe realizar búsquedas desde la base de datos de AD para la integración con Active Directory.
Ahora, estoy bastante seguro de que la siguiente topología sería ideal (anotando que cada una representa un firewall). Corríjame si me equivoco, pero esta topología evita que la DMZ interactúe con la Red de confianza y mantiene la base de datos fuera de la DMZ.
INTERNET <-> | <-> DMZ <-> | <-> Database Zone <-> | Trusted Network
Ahora, asumiendo que lo que he dicho anteriormente es cierto, ¿qué pasaría si una empresa no tuviera la capacidad para un enfoque de 3 firewall? ¿El mayor riesgo sería poner el servidor de base de datos en la DMZ o mantenerlo en la red de confianza con reglas de firewall específicas que permitan el acceso a la red de confianza?