Un server web nella DMZ dovrebbe poter accedere a MSSQL nella LAN?

Questa dovrebbe essere una domanda di base e ho cercato di ricercarla e non sono riuscito a trovare una risposta solida.

Supponi di avere un server Web nella DMZ e un server MSSQL nella LAN. L'IMO, e quello che ho sempre ritenuto corretto, è che il server Web nella DMZ dovrebbe essere in grado di accedere al server MSSQL nella LAN (forse dovresti aprire una porta nel firewall, sarebbe ok IMO).

I nostri ragazzi di rete ora ci stanno dicendo che non possiamo avere alcun accesso al server MSSQL nella LAN dalla DMZ. Dicono che qualsiasi cosa nella DMZ dovrebbe essere accessibile DALLA LAN (e dal web) e che la DMZ non dovrebbe avere accesso alla LAN, così come il web non ha accesso alla LAN.

Quindi la mia domanda è: chi ha ragione? La DMZ dovrebbe avere accesso alla / dalla LAN? Oppure, dovrebbe essere severamente vietato l'accesso alla LAN dalla DMZ. Tutto ciò presuppone una tipica configurazione DMZ.

Una corretta sicurezza della rete afferma che i server DMZ non dovrebbero avere accesso alla rete "Trusted". La rete attendibile può accedere alla DMZ, ma non viceversa. Per i server Web con backup DB come il tuo questo può essere un problema, motivo per cui i server di database finiscono in DMZ. Solo perché si trova in una DMZ non significa che DEVE avere accesso pubblico, il tuo firewall esterno può comunque impedire qualsiasi accesso ad esso. Tuttavia, il server DB stesso non ha accesso all'interno della rete.

Per i server MSSQL, probabilmente hai bisogno di una seconda DMZ a causa della necessità di parlare con AD DC come parte del suo normale funzionamento (a meno che tu non stia usando account SQL anziché integrati nel dominio, a quel punto questo è discutibile). Quella seconda DMZ ospiterebbe i server Windows che necessitano di un accesso pubblico di qualche tipo, anche se prima viene inviato un proxy tramite un web server. Gli addetti alla sicurezza della rete si sentono ottusi quando considerano le macchine di dominio che hanno accesso pubblico ad accedere ai controller di dominio, il che può essere una vendita difficile. Tuttavia, Microsoft non lascia molta scelta in questa materia.

Sono con i tuoi ragazzi in rete, in teoria. Qualsiasi altra disposizione significa che quando qualcuno compromette il server Web hanno una porta nella tua LAN.

Naturalmente, la realtà deve svolgere un ruolo: se hai bisogno di dati live accessibili sia dalla DMZ che dalla LAN, allora hai davvero poche opzioni. Probabilmente suggerirei che un buon compromesso sarebbe una sottorete interna "sporca" che i server come il server MSSQL potrebbero vivere. Quella sottorete sarebbe accessibile sia dalla DMZ che dalla LAN, ma non poteva essere in grado di avviare connessioni alla LAN e alla DMZ.

Se tutto ciò che stai lasciando passare attraverso il firewall sono connessioni SQL dal server DMZ al server MS-SQL, non dovrebbe essere un problema.

Sto pubblicando la mia risposta perché voglio vedere come ha votato ...

Il server Web nella DMZ dovrebbe essere in grado di accedere al server MSSQL nella LAN. In caso contrario, come proponi di accedere a un server MSSQL nella LAN? Non potresti!