Accesso sicuro a un'applicazione da Internet [chiuso]

-1

Ho un'applicazione che deve connettersi al database principale. Voglio che questa applicazione sia accessibile dall'esterno della rete aziendale. Penso che il modo migliore sia installare l'app in una macchina virtuale SQL Server 2012 con solo questa app e in qualche modo rendere questa app visibile da Internet.

L'idea è di configurare in qualche modo il firewall in modo da consentire solo alcuni indirizzi MAC e nomi di PC (se è possibile aggiungere una maggiore sicurezza) per essere in grado di connettersi attraverso una porta e quindi eseguire l'app.

Non so quanto sarebbe sicuro o come farlo. È un modo corretto per farlo, o c'è un modo migliore?

    
posta U. Busto 19.03.2018 - 11:18
fonte

2 risposte

1

Vedi il mio commento, ma spero che questo ti fornisca una risposta per iniziare nella giusta direzione. In primo luogo, garantire un'applicazione non è facile. Proteggere un'applicazione aperta a Internet ha gli stessi principi, ma è più difficile e sicuramente ti espone di più. In primo luogo, vorrei chiedermi se hai bisogno di questa applicazione aperta su una rete esterna. Se lo fai, ti consiglio di cercare aiuto da qualcuno perché è un compito importante e hai dati persistenti memorizzati in un database.

Per spiegare perché il tuo schema attuale è insicuro, offrirò un'analogia. Limitare l'accesso tramite un indirizzo Mac equivale a limitare le automobili (tramite la propria targa) a una comunità chiusa. Certo, hai un controllo di accesso, ma è abbastanza facile per me falsificare una targa e schiaffarla sulla mia macchina per far passare il tuo filtro Mac Addr. L'idea è di avere più livelli di difesa. In questa analogia, la mia casa (all'interno della comunità chiusa) è la tua applicazione. Innanzitutto, la comunità chiusa limita gli utenti in base a un campo più generale (indirizzo IP) comunemente chiamato elenco bianco. Questo può essere aggirato in modo che il livello successivo sia il vero controllo di accesso dell'utente (ovvero la serratura della porta di casa). Ogni utente ha un nome utente e una password in modo che tutto ciò che fanno possa essere tracciato a loro collegato. Se non hanno un nome utente e una password, ovviamente non possono accedere a casa o applicazione in questa analogia. Una volta che hanno superato la serratura della porta di casa, alcuni utenti potrebbero essere limitati e possono accedere solo a determinate stanze della casa con le loro credenziali. Puoi vedere come questo diventa complicato.

L'idea generale è di creare più livelli di difesa in modo che un attaccante debba lavorare molto duramente e "vincere" più volte prima di ottenere l'accesso a qualsiasi cosa. Come sempre, ciò dipende dalla sensibilità dell'applicazione. Più i dati sono sensibili, più controlli vengono posizionati. Si prega di leggere sullo sviluppo di un modello di minaccia prima di iniziare. Il meglio della fortuna!

    
risposta data 19.03.2018 - 13:58
fonte
0

La sicurezza dovrebbe sempre essere implementata nei livelli

Considerare innanzitutto il controllo degli accessi perimetrale. Isolamento della rete tramite una combinazione di una VLAN accessibile pubblicamente nota anche come DMZ con ACL rigorosi per controllare i percorsi di ingresso e uscita verso detto segmento di rete.

Successivamente, considera l'utilizzo del tunneling basato su TLS o SSH sull'applicazione esposta per proteggere i dati di transito e l'autenticazione / autorizzazione di detta applicazione.

L'approfondimento della difesa è sempre un approccio a strati per proteggere ciò che è in transito e ciò che è a riposo.

    
risposta data 20.03.2018 - 12:15
fonte

Leggi altre domande sui tag