Stiamo provando a determinare se spingere i dati attraverso un firewall è più sicuro che tirarli. I dati saranno da SSIS a SSIS attraverso il firewall. Un consulente qui ha suggerito che spingere i dati attraverso il firewall è più sicuro che consentire una connessione esterna per estrarre i dati.
È così?
Consentire una connessione in entrata significa aprire una porta sul firewall e avere un servizio di rete in ascolto su quella porta 24 ore su 24 e questo crea rischi. Se sei il cliente, raggiungi un listener di rete remoto e recupera i dati. Non hai quel rischio 24/7.
Ci sono alcune cose che puoi fare per ridurre il rischio come la whitelist e il monitoraggio IP, ma non riduce il rischio a zero.
In generale, consiglio alle persone di rendere la zona di sicurezza più alta il cliente. Se un lato della connessione è più sensibile a te, tira da lì. Aumenta il rischio nella zona meno preziosa.
Teoricamente una connessione in entrata può essere considerata sicura quanto quella in uscita: puoi limitare le condizioni in cui è possibile effettuare connessioni in entrata; fonte attendibile, condizioni attendibili, ecc.
Ma le connessioni in entrata tipicamente sono significativamente meno limitate di quelle in uscita. Le connessioni in uscita si verificano solo quando le vuoi, verso destinazioni che intendi per scopi che conosci. Le connessioni in entrata, se non opportunamente limitate, potrebbero provenire da chiunque per qualsiasi motivo.
In generale, gli attaccanti entrano in connessioni in entrata anziché in uscita.
Più sicuro a chi?
In una connessione TCP, una delle due parti ha bisogno di aprire un insieme di porte e lasciarla aperta ad altre persone a cui connettersi. Nella tua situazione sembra che tu stia cercando di determinare chi ha il rischio di ospitare il server. (tu contro di loro)
Direi di lasciare il server in hosting a chi ha più esperienza nella gestione dei server.
L'hosting di un server (HTTP, FTP o quant'altro) richiede l'applicazione di patch e la verifica del nome utente / password. Se sei un sito di grandi dimensioni, la protezione dagli attacchi DDoS è importante e questo si aggiunge alla responsabilità di chiunque ospiti il server.
Se nel software del server si verifica un errore, si apre la rete interna agli hacker, quindi questo server deve essere inserito in una DMZ. (nota: ciò non significa che la rete senza server non sia immune agli hacker, limita semplicemente i modi in cui possono entrare).
Leggi altre domande sui tag firewalls