Estamos tratando de determinar si empujar los datos a través de un firewall es más seguro que tirarlos. Los datos serán de SSIS a SSIS a través del firewall. Un asesor aquí ha sugerido que empujar los datos a través del firewall es más seguro que permitir que una conexión externa saque los datos.
¿Esto es así?
Permitir una conexión entrante significa abrir un puerto en su firewall y tener un servicio de red escuchando en ese puerto 24/7 y eso crea un riesgo. Si usted es el cliente, contacte a un oyente de red remoto y extraiga los datos. No tienes ese riesgo 24/7.
Hay algunas cosas que puede hacer para reducir el riesgo, como la inclusión en la lista blanca de IP y el monitoreo, pero no reduce el riesgo a cero.
En general, aconsejo a las personas que hagan que la zona de mayor seguridad sea el cliente. Si un lado de la conexión es más sensible para usted, tire desde allí. Aumenta el riesgo en la zona que es menos valiosa.
Teóricamente una conexión de entrada puede considerarse tan segura como una conexión de salida: puede limitar las condiciones en las que se pueden realizar las conexiones de entrada; fuente confiable, condiciones confiables, etc.
Pero normalmente las conexiones entrantes están significativamente menos restringidas que las salientes. Las conexiones salientes se producen solo cuando usted lo desea, a los destinos que desea para los fines que usted conoce. Las conexiones entrantes, a menos que estén correctamente restringidas, pueden ser de cualquier persona por cualquier motivo.
En general, los atacantes entran en conexiones entrantes en lugar de conexiones salientes.
¿Más seguro para quién?
En una conexión TCP, una de las dos partes debe abrir un conjunto de puertos y dejarlo abierto para que otros puedan conectarse. En su situación, parece que está tratando de determinar quién tiene el riesgo de alojar el servidor. (tu contra ellos)
Yo diría que deje el servidor alojado en la persona que tenga más experiencia en la gestión de servidores.
El alojamiento de un servidor (HTTP, FTP o cualquier otra cosa) requiere la aplicación de parches y la verificación del nombre de usuario / contraseña. Si eres un sitio grande, la protección contra los ataques DDoS es importante y esto se suma a la responsabilidad de la persona que hospeda el servidor.
Si ocurre un error en el software del servidor, entonces abre su red interna a los piratas informáticos, por lo que este servidor debería ubicarse en una DMZ. (nota: eso no significa que la red sin servidor no sea inmune a los piratas informáticos, solo limita las formas en que pueden ingresar).
Lea otras preguntas en las etiquetas firewalls