Perché i server dovrebbero essere collocati al di fuori della rete aziendale?

65

In una risposta a Come gestisci enormi scansioni di porte? , utente tylerl ha detto:

... And you, like a wise IT admin, run all your servers elsewhere on the internet, not inside your corp network, for a whole raft of reasons I won't go into here

Essendo un amministratore IT poco saggio, quali sono questi motivi?

    
posta topher 10.02.2016 - 11:27
fonte

4 risposte

50

Avere tutti i server aziendali nella stessa rete è una cattiva idea, perché se uno dei server viene compromesso, l'aggressore può facilmente diffondersi verso gli altri . I server sono spesso configurati per essere sicuri sul front-end, ma quando si tratta di server che comunicano tra loro, ci sono vari modi per trovare le vulnerabilità. Anche la sensibilità dei dati spesso non è la stessa. Mentre un server Web è importante per la disponibilità, un server di database spesso contiene dati importanti sui clienti. Separare questi è comunque una buona idea.

I provider di hosting specializzati per server specifici sono per lo più in grado di mantenere i loro server più sicuri.

Grazie a Internet, non vi è alcun motivo per non separare i server, a meno che l'applicazione non dipenda dal tempo che, ad esempio, è necessario accedere direttamente ai server di database.

    
risposta data 10.02.2016 - 11:43
fonte
22

Non c'è niente di sbagliato nell'esecuzione di server all'interno della rete aziendale - tranne che la rete aziendale non dovrebbe essere una rete ampia e piatta. È necessario considerare la separazione delle risorse e degli utenti in "zone" diverse e quindi scrivere regole che consentano l'accesso corretto (e previsto) tra tali zone. nel tuo modello, includi "zona internet" e anche tutti i link diretti a terze parti che la tua azienda potrebbe avere (ad esempio vpn ai fornitori)

Userei sempre i firewall invece di dividere semplicemente la rete in VLAN. I firewall offrono una migliore funzionalità per la creazione di regole (o gruppi di regole) in modo da poter autorizzare il traffico che si prevede di fluire tra le zone.

Puoi posizionare i controlli di sicurezza sui bordi all'interno della zona, ad esempio:

  • IPS / IDS che riportano al tuo Soc / SIEM
  • Funzionalità di elenco di controllo degli accessi (supportato da alcuni produttori di firewall) che ti consentirà di garantire che solo gli utenti autorizzati possano accedere a una zona, dove risiedono i server / app. Naturalmente, il tuo registro DENY sarà utile per il SoC

Organizzare le zone sarà diverso per ogni organizzazione, ma gli esempi di commoin sono:

  • segregazione dello sviluppo / test dalla produzione
  • segregazione degli utenti dai server di produzione
  • segregazione di server di applicazioni ad alto rischio o altamente sensibili da server di applicazioni non sensibili

Ci sono alcuni rischi. Fare attenzione a non superare il numero di zone e renderlo troppo complesso. Altrimenti l'onere di mantenere le regole diventerà un grosso costo. Valuta di investire in un prodotto firewall con una buona gestione delle regole o persino un'applicazione di gestione delle regole separata (ad esempio, Tuffin SecureTrack + ce ne sono anche altri).

Tieni presente che alcuni fornitori di firewall hanno modalità proprietarie per aggiungere ACL alle regole; questi possono avere un strong impatto sulle prestazioni del firewall e potrebbe essere necessario un kit più grande del previsto.

    
risposta data 10.02.2016 - 14:52
fonte
5

Di solito i server devono essere accessibili da Internet, quindi la progettazione della rete deve consentire le connessioni da Internet alla rete in cui si trovano i server. Ora se inserisci i server nella rete interna, significa che devi esporre la rete interna a Internet per progettazione .

E non c'è motivo di mettere i server nella rete aziendale comunque. Anche se i server vengono utilizzati dalle workstation nella rete aziendale, essi (di solito) non hanno bisogno di stabilire connessioni a le workstation.

    
risposta data 11.02.2016 - 11:44
fonte
1

Senza rimodellare ciò che altri hanno già messo in evidenza, ecco un paio di altri motivi dal punto di vista dell'amministratore di rete:

  1. Mantenendo i server su una zona di sicurezza separata, la subnet e la VLAN forniscono la segmentazione della rete. Ciò ridurrà il traffico di trasmissione non necessario ai server e fornirà una maggiore larghezza di banda tra traffico server-server. La segmentazione della rete è una parte importante della sicurezza della rete e del design che vorrei incoraggiare a saperne di più.

  2. E lungo linee analoghe: con una zona di sicurezza separata, forzare i client a passare attraverso un firewall hardware per comunicare con i server consente un controllo molto più granulare su quale traffico è consentito ai e dai server. Questo può servire per una varietà di scopi di sicurezza e può anche aiutare a impedire a virus come worm di avere la possibilità di sfruttare una porta sul server che è altrimenti aperta e suscettibile di attacchi. I clienti saranno naturalmente meno sicuri perché i tuoi utenti hanno la possibilità, a vari livelli, di fare cose insicuri su e con loro. I server tuttavia, hai il pieno controllo.

  3. Potresti ulteriormente segmentare i server in due zone separate. Una zona potrebbe essere per i server interni che non forniscono necessariamente alcun tipo di hosting e non devono essere accessibili dal mondo esterno. L'altra zona sarebbe un tipo di server-DMZ in cui i server a cui accede il mondo esterno per qualunque sia il loro hosting e avrebbe un set di parametri di sicurezza completamente diverso.

risposta data 23.02.2016 - 17:59
fonte

Leggi altre domande sui tag