¿Por qué deberían colocarse los servidores fuera de la red corporativa?

Tener todos sus servidores corporativos en la misma red es una mala idea porque si uno de los servidores está comprometido, el atacante puede fácilmente propagarse a los demás . Los servidores a menudo se configuran para estar seguros en el extremo delantero, pero cuando se trata de servidores que se comunican entre sí, hay varias formas de encontrar vulnerabilidades. Además, la sensibilidad de los datos a menudo no es la misma. Si bien un servidor web es importante para la disponibilidad, un servidor de base de datos a menudo contiene datos valiosos de los clientes. Separarlas es una buena idea en cualquier caso.

Los proveedores de alojamiento especializado para servidores específicos también pueden, en su mayoría, mantener sus servidores más seguros.

Gracias a Internet, no hay razón para no separar los servidores, a menos que su aplicación sea tan dependiente del tiempo que, por ejemplo, los servidores de bases de datos deban ser accedidos directamente.

No hay nada de malo en ejecutar servidores dentro de la red corporativa, excepto que la red corporativa no debe ser una red amplia y plana. Debe considerar la separación de activos y usuarios en diferentes "zonas" y luego escribir reglas que permitan el acceso correcto (y esperado) entre esas zonas. en su modelo, incluya "zona de Internet" y también cualquier enlace directo a terceros que su empresa pueda tener (por ejemplo, vpn a proveedores)

Siempre usaría firewalls en lugar de simplemente dividir la red en VLAN. Los firewalls ofrecen una mejor funcionalidad para crear reglas (o grupos de reglas) para que pueda incluir en la lista blanca el tráfico que espera que fluya entre las zonas.

Puede colocar controles de seguridad en los bordes dentro de la zona, como:

• informes IPS / IDS a su Soc / SIEM
• Funcionalidad de la lista de control de acceso (admitida por algunos fabricantes de firewall) que le permitirá asegurarse de que solo los usuarios autorizados puedan acceder a una zona, donde residen los servidores / aplicaciones. Por supuesto, su registro DENY será útil para el SoC

La organización de las zonas será diferente para cada organización, pero los ejemplos de comunicación son:

• segregando el desarrollo / las pruebas de la producción
• segregar a los usuarios de los servidores de producción
• segregar los servidores de aplicaciones de alto riesgo o altamente sensibles de los servidores de aplicaciones no sensibles

Hay algunos riesgos. Tenga cuidado de no sobrepasar el número de zonas y hacerlo demasiado complejo. De lo contrario, la carga de mantener las reglas se convertirá en un gran costo. Considere invertir en un producto de firewall que tenga una buena administración de reglas o incluso una aplicación de administración de reglas por separado (por ejemplo, Tuffin SecureTrack + hay otras también).

También tenga en cuenta que algunos proveedores de firewall tienen formas propietarias de agregar ACL a las reglas; Estos pueden tener un gran impacto en el rendimiento del firewall y es posible que necesite un kit más grande que el esperado.

Por lo general, se debe acceder a los servidores desde Internet, por lo que el diseño de su red debe permitir conexiones desde Internet a la red donde se encuentran sus servidores. Ahora, si coloca los servidores en la red interna, eso significa que debe exponer la red interna a Internet por diseño .

Y no hay razón para poner los servidores en la red de la empresa de todos modos. Incluso si los servidores se usan desde las estaciones de trabajo en la red de la empresa, (por lo general) no necesitan establecer conexiones a a las estaciones de trabajo.

Sin repetir lo que otros ya han sacado, aquí hay un par de razones más desde la perspectiva de administrador de red:

1. Manteniendo sus servidores en una zona de seguridad, subred y VLAN separadas, proporciona segmentación de red. Esto reducirá el tráfico de difusión innecesario a sus servidores y proporcionará más ancho de banda entre el tráfico de servidor a servidor. La segmentación de la red es una parte importante de la seguridad y el diseño de la red, por lo que le recomendaría que obtenga más información.

2. Y en líneas similares: con una zona de seguridad separada, obligar a sus clientes a pasar a través de un firewall de hardware para comunicarse con sus servidores permite un control mucho más granular sobre qué tráfico está permitido hacia y desde sus servidores. Esto puede servir para una variedad de propósitos de seguridad y también puede ayudar a prevenir que virus como los gusanos tengan la capacidad de explotar un puerto en su servidor que de otra manera está abierto y es susceptible de ataques. Naturalmente, los clientes estarán menos seguros porque sus usuarios tienen la capacidad, en mayor o menor grado, de hacer cosas inseguras con ellos. Sin embargo, los servidores tienen control total sobre.

3. Podría segmentar más los servidores en dos zonas separadas. Una zona sería para sus servidores internos que no necesariamente proporcionan ningún tipo de alojamiento y que no necesitan ser accedidos por el mundo exterior. La otra zona sería un tipo de servidor-DMZ donde los servidores a los que el mundo exterior accede desde cualquier lugar de su alojamiento y tengan un conjunto de parámetros de seguridad completamente diferente.