Interacción del servidor web con un servidor de base de datos

2

Es de conocimiento general que cualquier servidor expuesto a Internet debe colocarse en una DMZ. Sin embargo, una aplicación web a veces necesita obtener comentarios y actualizaciones del usuario para las tablas de base de datos de back-end, etc. ¿Cómo y dónde ubicaría el servidor de la base de datos? En la DMZ, o permitir conexiones de base de datos a través del firewall DMZ a la red interna donde se encuentra el servidor de la base de datos.?

¿Qué sucede si también se debe acceder a este servidor de base de datos desde los usuarios internos? Por ejemplo, tal vez necesitan consultar quién se ha registrado en el sitio web ... etc. ¿Cómo diseñarías dónde colocar este servidor DB? gracias

    
pregunta dorothy 19.12.2014 - 13:46
fuente

2 respuestas

3

Para un nivel razonable de seguridad, la respuesta es realmente ninguna de las dos. La base de datos debe estar alojada en su propia zona, no en la DMZ con el servidor web, o en la zona de red interna. Esto permite niveles adicionales de protección contra la intrusión de la Internet pública en caso de que el servidor web o la aplicación web se vea comprometido, y contra los ataques de la red interna, que son un problema muy real. También ofrece un mecanismo de defensa en profundidad para proteger la red interna en caso de que un atacante que penetra en la DMZ descubra cómo pivotar en la zona de DB. La red interna también.

Entonces, algo como esto:

    
respondido por el Xander 19.12.2014 - 16:31
fuente
1

Idealmente, la aplicación se escribiría para ajustarse a una arquitectura de 3 niveles.

En este escenario, es común que la capa de presentación resida en un WebDMZ, que la capa de aplicación resida en un AppDMZ y que la capa de datos resida en la red interna.

Si esto no es posible por alguna razón u otra, recomiendo que la base de datos resida en un DatabaseDMZ.

Los usuarios en la red interna todavía pueden recibir acceso desde la red interna al servidor en el DatabaseDMZ. NO permita que el servidor de la base de datos inicie la comunicación a la red interna, sino al revés.

Desea evitar una situación en la que un servidor en un WebDMZ tenga acceso directo a la red interna.

    
respondido por el k1DBLITZ 19.12.2014 - 16:38
fuente

Lea otras preguntas en las etiquetas