Un serveur Web de la DMZ doit-il être autorisé à accéder à MSSQL sur le LAN?

Cela devrait être une question très fondamentale et j'ai essayé de la rechercher et je n'ai pas pu trouver de réponse solide.

Supposons que vous ayez un serveur Web dans la DMZ et un serveur MSSQL dans le LAN. IMO, et ce que j'ai toujours supposé être correct, c'est que le serveur Web dans la DMZ devrait pouvoir accéder au serveur MSSQL dans le LAN (peut-être que vous auriez à ouvrir un port dans le pare-feu, ce serait ok IMO).

Nos gars en réseau nous disent maintenant que nous ne pouvons pas avoir accès au serveur MSSQL dans le LAN depuis la DMZ. Ils disent que tout ce qui se trouve dans la DMZ ne devrait être accessible QUE PAR LE LAN (et le Web), et que la DMZ ne devrait pas avoir accès AU LAN, tout comme le Web n'a pas accès au LAN.

Donc ma question est, qui a raison? La DMZ doit-elle avoir accès au / à partir du LAN? Ou, si l'accès au LAN depuis la DMZ est strictement interdit. Tout cela suppose une configuration DMZ typique.

Une bonne sécurité du réseau stipule que les serveurs DMZ ne devraient pas avoir accès au réseau «Trusted». Le réseau de confiance peut accéder à la DMZ, mais pas l'inverse. Pour les serveurs Web sauvegardés par DB comme le vôtre, cela peut être un problème, c'est pourquoi les serveurs de base de données se retrouvent dans des zones démilitarisées. Ce n'est pas parce qu'il se trouve dans une zone démilitarisée qu'il doit avoir un accès public, votre pare-feu externe peut toujours empêcher tout accès. Cependant, le serveur DB lui-même n'a pas accès à l'intérieur du réseau.

Pour les serveurs MSSQL, vous avez probablement besoin d'une deuxième zone démilitarisée en raison de la nécessité de parler aux AD DC dans le cadre de son fonctionnement normal (à moins que vous n'utilisiez des comptes SQL plutôt que des domaines intégrés, auquel cas cela est théorique). Cette deuxième zone démilitarisée hébergerait des serveurs Windows qui ont besoin d'un accès public quelconque, même si elle est d'abord mandatée via un serveur Web. Les personnes chargées de la sécurité réseau deviennent louches quand elles considèrent que les machines dominées ayant un accès public ont accès aux contrôleurs de domaine, ce qui peut être difficile à vendre. Cependant, Microsoft ne laisse pas beaucoup de choix en la matière.

Je suis avec vos gars en réseau, en théorie. Tout autre arrangement signifie que lorsque quelqu'un compromet le serveur Web, il a une porte d'accès à votre LAN.

Bien sûr, la réalité doit jouer un rôle - si vous avez besoin de données en direct accessibles à partir de la DMZ et du LAN, vous avez vraiment peu d'options. Je dirais probablement qu'un bon compromis serait un sous-réseau interne "sale" que des serveurs comme le serveur MSSQL pourraient vivre. Ce sous-réseau serait accessible à la fois à partir de la DMZ et du LAN, mais protégé par un pare-feu de la possibilité d'initier des connexions au LAN et à la DMZ.

Si vous ne laissez passer le pare-feu que des connexions SQL du serveur DMZ au serveur MS-SQL, cela ne devrait pas poser de problème.

Je poste ma réponse parce que je veux voir comment elle a voté ...

Le serveur Web dans la DMZ doit pouvoir accéder au serveur MSSQL dans le LAN. Si ce n'est pas le cas, comment proposez-vous d'accéder à un serveur MSSQL dans le LAN? Tu ne pouvais pas!