Лучшая защита данных с помощью SQL на отдельной коробке от веб-сервера (Win 2003 / SQL 2008)?

Question

Аудитор, проверяющий нашу систему, предлагал хранить наши данные на отдельном физическом сервере от веб-сервера.Мы запускаем SQL 2008 на компьютере под управлением Windows 2003 с IIS в качестве веб-сервера, на котором выполняются приложения ASP.NET 3.5.

Я не могу придумать ни одной существенной причины, по которой было бы больше безопасности, если бы SQL был отдельнымкоробка.Веб-сайт по-прежнему получает доступ к SQL, поэтому возможности внедрения SQL-кода не уменьшаются (мы, конечно, защищаемся от этого), и мы будем использовать RPD для администрирования SQL-машины точно так же, как веб-сервер.дать некоторое представление о том, почему это было бы лучше, или если на самом деле это не более безопасно?

Answer 1

Поле, которое только , на котором работает SQL Server, может:

• Удалите что-либо постороннее из БДМ. Поскольку IIS является очевидной точкой входа в общую систему, то, поскольку IIS не установлен в одном блоке, можно избежать некоторых возможных проблем. - Я не имею в виду атаку sql-инъекцией, поскольку, очевидно, они переходят с веб-сервера на dbms. Я имею в виду проблемы с исправлениями IIS, плохо настроенные учетные записи IIS и т. Д.
• Может также удалять любые логины на уровне ОС и т. Д. - атаки на уровне ОС
• Может переместить сервер SQL в другую сеть (например, за брандмауэром)
• Может применить больше ресурсов для мониторинга цели высокого значения. Например, системы типа tripwire
• Может применить лучшее hw / sw (рейд, более частое резервное копирование), если стоимость hw на машине / ферме IIS будет слишком большой.

пс. Даже запуск в качестве отдельного виртуального экземпляра (но того же самого hw) был бы лучше, чем все в одном экземпляре ОС.

Answer 2

Это должно быть при сбое сервера. Тем не менее, так как вы здесь.

Веб-сервер может быть взломан различными способами. Может быть, кто-то оставил запущенную службу FTP, может быть, одно из этих приложений позволяет вам загружать файлы и т. Д. Если в любой момент веб-сервер скомпрометирован, он может получить доступ на уровне файловой системы.

Когда они могут добраться до файловой системы, они могут скопировать файлы вашей базы данных оптом с машины. Кроме того, с доступом к файловой системе они могут получить ваши ключи шифрования. Которые могут обойти любой тип данных в состоянии покоя шифрования у вас есть. Другими словами, если веб-сервер взломан, все ваши ценные данные могут легко выйти за дверь, и никто не узнает.

Размещая базу данных на другом сервере и ограничивая доступ только к указанному порту И ограничивая доступ пользователя к учетной записи, разрешается входить на сервер, чтобы просматривать только данные и вносить изменения в данные только через контролируемые хранимые процедуры, тогда вы ограничиваете экспозиция резко. Другими словами, даже если они взломали веб-сервер, они не могли выполнить «drop»; или, так же плохо, "усечь";

Сделайте этот шаг дальше и ТОЛЬКО разрешите открывать очень специфические порты на этом поле. И даже в этом случае разрешите им быть открытыми только тем компьютерам, которым необходим доступ к ним. Например, НИКОГДА не разрешайте внешнему миру RDP на ваш сервер базы данных.

Глубокая защита - ваш приоритет. Вы не можете всегда препятствовать тому, чтобы они взломали веб-коробку; но вы можете ограничить то, что они могут делать с этим соединением, когда-то там. Или хотя бы поднять уровень сложности до такой степени, что они остановятся только на порче сайта.

Другое дело: сервер sql намного счастливее на своей машине и будет работать быстрее.

Answer 3

Основным преимуществом размещения сервера БД на другом компьютере является минимизация потоков уровня операционной системы. Скажите, если ваш веб-сервер каким-то образом скомпрометирован, вы минимизируете влияние на вашу базу данных.

Answer 4

Имейте в виду, что аудит - это все о CYA (прикрывайте свою задницу). Если у вас есть нарушение, вы можете сказать, что вы прошли аудит. Аудитор может сказать, что он следовал процедуре аудита. Ваш босс может сказать, что у него есть подпись аудитора.

Я не могу думать о каких-либо значительных причина того, что там будет больше безопасности имея SQL на отдельной коробке.

Вероятно, и одитор не может. Это его работа - придумать улучшение. Если вы находитесь в дружеских отношениях с аудитором, они могут быть очень открыты для переговоров.

Отдельный сервер базы данных - очень разумное предложение. Аудитор также может порекомендовать брандмауэр, который позволяет только системе очередей сообщений с предопределенными форматами сообщений взаимодействовать с базой данных. Ой!