Pregunta muy amplia, pero aquí hay una línea de base de adiciones de seguridad que agregaría
- Reglas de firewall para bloquear TODOS, excepto las fuentes autorizadas
- Registros del sistema / eventos remotos
- prueba de seguridad de la aplicación web
Esto está más allá de lo ancho, y está disperso. ¿El razonamiento? No tengo idea de cuál es tu riesgo. Solo tú y tu organización pueden determinar eso. Así que un análisis rápido de riesgo en una vista de 50k:
Pregunta : "Necesito poner este servidor en línea. ¿Cuál es el riesgo de que alguien obtenga mis datos?"
Respuesta / Pregunta : quién tiene acceso a los datos (qué red y por qué). ¿Puedo minimizar esto a través de un certificado, SSL, VPN, ACL?
Respuesta / Pregunta: Una vez que alguien TIENE ACCESO a este sitio, ¿qué permisos tienen? ¿Pueden acceder a todos los datos, a algunos datos, cómo se procesan, alguien puede intentar acceder a algo para lo que tienen permiso, si es así lo sabré a través de registros, alertas?
Respuesta / Pregunta: ¿Se puede hacer esto de manera segura a través de Internet? ¿Debería presentar este riesgo no solo a mí mismo, sino a mis clientes? ¿Puedo habilitar una transacción VPN, con este procedimiento documentado para que mis clientes entiendan que valoro su seguridad?
Luego está el problema más granular fuera de ese servidor. "¿Qué pasa si alguien compromete este servidor? ¿Qué pueden hacer una vez en el servidor? ¿Pueden volver a la red corporativa? ¿Pueden cambiar a cualquier red en las tablas de enrutamiento? ¿Pueden oler otras conexiones de clientes y comprometer a otros clientes? Esta pregunta es bastante amplia, y espero haberte dado algunas cosas en que pensar. No hay "en qué marco / estándar / directriz" puedo pensar porque 1) no conozco su industria 2) no conozco el propósito de su aplicación 3) no conozco la tolerancia al riesgo de su organización.