На нескольких наших серверах есть лицензии на обслуживание Oracle. Наш поставщик оборудования спросил, есть ли подключение к интернету в серверной комнате. Наша политика такова, что все машины в этой комнате изолированы от интернета по соображениям безопасности. Но специалист по обслуживанию спросил: «Тогда как мы сможем проводить работы по обслуживанию ваших серверов?».
Мой вопрос заключается в том, нужно ли нашим серверам подключение к интернету для проведения технического обслуживания, например, системы проверки лицензий. Или он может делать это в автономном режиме? Не является ли это риском само по себе, если есть подключение к интернету к нашему производственному серверу?
Ответ 1
Обычно необходимо загружать исправления из интернета, а затем применять их на сервере. Однако разумно иметь промежуточный этап копирования исправлений в промежуточное место (даже на DVD), чтобы пройти между интернетом и серверами баз данных. Если им просто нужна отдельная машина в серверной комнате, которая может подключаться к интернету (например, для чтения патч-нот), – это еще один вариант. Наконец, есть разница между наличием браузера, работающего на сервере, который может подключаться к интернету, и тем, что сервер действительно доступен как сервер из интернета. Все зависит от того, насколько безопасным вы хотите/необходимо быть.
Ответ 2
Вы всегда можете использовать iptables для настройки точных пар IP:порт источника/назначения, которые вы хотите держать открытыми.
Таким образом, даже когда сервер исследуется через WAN, вы можете гарантировать, что только доверенные IP-адреса + правильные учетные данные получат к нему доступ.
Кроме того, вы можете использовать пару приватный-публичный ssh ключ, который может быть разделен только между вами двумя.
Ответ 3
Все ваши серверы должны находиться либо в DMZ, либо, по крайней мере, за брандмауэром. Практически любой брандмауэр может быть настроен на разрешение исходящих соединений с любого из этих серверов (чтобы они могли самостоятельно проверять и загружать исправления безопасности и другие обновления). Затем системные администраторы должны настроить брандмауэр таким образом, чтобы разрешить несколько очень специфических входящих соединений. Если они нужны только для периодического обслуживания, их можно отключить после завершения обслуживания. Для этой работы мы используем шлюзы linux, а для брандмауэра – iptables. Поэтому ваши стандартные аппаратные брандмауэры будут делать то же самое.
Ответ 4
Вопрос заключается в том, есть ли риск в разрешении производственным серверам иметь HTTP/S соединения, исходящие в интернет. Короткий ответ: НЕТ. Более длинный ответ: риск безопасности настолько минимален, что он перевешивает затраты (в смысле времени) на управление этими серверами.
Рассмотрим риски, связанные с разрешением доступа:
Администратор загружает на сервер вредоносное программное обеспечение из интернета.
Взломанный сервер загружает дополнительный вирусный код или выгружает конфиденциальную информацию в интернет.
Первый пункт смягчается ограничением доступа в интернет к известным сайтам, а в идеале вообще запретом на просмотр веб-страниц. Кроме того, существует определенное доверие к своим администраторам, которые не будут действовать злонамеренно.
Что касается второго пункта, то, учитывая, что сервер уже был каким-то образом взломан, наличие или отсутствие доступа в интернет является спорным вопросом. Злоумышленник уже нашел способ получить код на ваши системы, а это значит, что он может получить дополнительный код на эту систему или получить данные с нее.
Очевидно, что все это может зависеть от конкретных обстоятельств (например, от соответствия определенным требованиям заказчика или регулирующих органов).
Ответ 5
Ответ №1 является лучшим с теоретической точки зрения – уровень безопасности сети равен уровню безопасности самого слабого компьютера, подключенного к этой сети.
Практический подход, с моей точки зрения, заключается в следующем:
Внутренняя сеть разбита на подсети dot1q.
Шлюз linux --> весь трафик между подсетями проходит через него, и его можно легко контролировать (что и происходит с доступом к основным серверам только для необходимых портов приложений и клиентов).
Внешнее соединение осуществляется только через шифрованный vpn (pptp с mschap или openvpn).
Основные серверы имеют доступ к интернету только по «необходимости» (обслуживание, загрузка обновлений и т. д.) – доступ к ним также контролируется через шлюз – с политикой DROP.
Security