Server situato su due reti fisiche - Cattiva idea o no

La giustificazione che dovresti dare non è tecnica. Dovresti esprimerlo in termini di rischio.

In parole semplici:

• La rete aziendale contiene informazioni sensibili.
• I sistemi connessi a quella rete e gli utenti che li utilizzano hanno un certo livello di rischio associato.
• I controlli di sicurezza sulla rete aziendale sono stati calcolati per mitigare sufficientemente tale rischio.
• Qualsiasi cambiamento nel rischio significa che i controlli di sicurezza devono essere rivalutati.
• Il bridging delle due reti comporta un rischio significativo, a causa della superficie di attacco aggiuntiva e del potenziale per il comportamento degli utenti di influenzare i sistemi business-critical.
• La mancata contabilizzazione di ulteriori rischi comporterà un deficit di copertura della sicurezza, che potrebbe comportare potenziali perdite finanziarie considerevoli.

Come hai notato, le caselle di salto sono l'ideale per questa situazione. Sono molto più economici rispetto al tentativo di applicare gli stessi requisiti di sicurezza a entrambe le reti quando sono a livelli di rischio completamente diversi.

Penso che lo affronterei in questo modo:

Why is there an existing separation of the physical networks?

Installando un'altra scheda NIC nel server e collegandola all'altra rete, si sta effettivamente collegando le reti, fisicamente e tramite NetBIOS. Ciò rende l'intero punto di mantenere le reti separate essenzialmente moot.

What is the sensitivity / classification of the data stored on the server?

Ciò consentirebbe di determinare quale livello di protezione deve essere distribuito per proteggere i dati sul server.

Se perdi questa battaglia (il costo per una scheda di rete aggiuntiva è MOLTO più economico di un'architettura firewall / DMZ adeguata) ci sono ancora alcune cose che puoi fare per ridurre il rischio, come configurare IPsec per consentire solo il porte specifiche e amp; protocolli richiesti per individui specifici per accedere alle informazioni.

So che hai chiesto citazioni specifiche da fonti pubblicate, ma penso che potrebbero essere un po 'difficili dal momento che questa è una filosofia fondamentale della sicurezza del tipo "mantenere le cose separate - accesso alle informazioni su un bisogno di conoscere".

Sei decisamente sulla strada giusta per rifiutare questo, e ci sono due punti principali del perché. Il primo è più operativo, il secondo è più legato al rischio. In definitiva, tuttavia, l'importante è chiamare questi rischi e bilanciarli con il rapporto costi / benefici. Se la rete ha già un firewall e DMZ configurato, dovrebbe essere abbastanza semplice aggiungere il server alla DMZ e aprire le porte necessarie. Se non lo fai, potrebbe essere molto lavoro solo per un sistema. Inoltre, questa configurazione è spesso chiamata dual-homed o multi-homed, che può aiutarti a trovare più documentazione su di esso.

Come accennato in altre risposte, un sistema Windows dual-homed può a volte causare problemi. I programmi potrebbero non aspettarsi questo, e sembra che a volte tu possa incorrere in problemi a causa di ciò. Mi piacerebbe dire che questo è un problema della vecchia scuola, ma l'ho visto abbastanza di recente, quindi non puoi scartarlo. Fondamentalmente stai aggiungendo un caso limite alla tua rete, e raramente c'è una vera ragione per farlo.

In secondo luogo è il rischio che accetteresti facendo questo. Ovviamente l'esposizione di questo host su entrambe le reti rende potenzialmente più facile per un utente malintenzionato saltare tra di loro. L'utilizzo di un firewall di rete (o bilanciamento del carico) e il modello DMZ consente di ridurre potenzialmente la superficie di attacco. Sembra che la rete aziendale sia più sensibile, quindi questo sistema sarebbe un obiettivo ovvio per un aggressore.

Non ho alcuna best practice o documentazione specifica a cui posso sfortunatamente sfortunatamente, ma raccomanderei la stessa cosa che farei per qualsiasi sistema. È necessario esporre solo le porte strettamente necessarie sul lato Telecomm e assicurarsi che questo host abbia la minore connettività possibile con il resto della rete aziendale. In questo modo aumenta la difficoltà di ruotare intorno alla rete se l'host è compromesso. Dovresti considerare anche l'indurimento dell'host. Puoi trovare informazioni sui server dual-homed e sui rischi per la sicurezza con alcune ricerche: link link

Se la tua azienda sta segmentando le sue reti in base a un modello di zona di rischio, potresti anche verificare se le due reti hanno classificazioni di rischio diverse.

Da qualche parte nella tua politica di sicurezza dovrebbe dire: non ti è permesso Bridgeare due zone di sicurezza separate con qualsiasi mezzo diverso da un firewall che consente solo connessioni necessarie e sta registrando e applicando tali connessioni in base alla politica di sicurezza.

Da un punto di vista operativo, si potrebbe sostenere che introduce una maggiore complessità e quindi potenziali fonti di errori che ti mordono il culo quando si verifica un problema di prestazioni o connettività.