Kilka naszych serwerów ma licencje serwisowe Oracle. Nasz dostawca sprzętu poprosił o połączenie internetowe w serwerowni. Zgodnie z naszymi zasadami ze względów bezpieczeństwa wszystkie urządzenia w tym pomieszczeniu są odizolowane od Internetu. Ale konserwator zapytał: „to w jaki sposób będziemy w stanie wykonać prace konserwacyjne na twoich serwerach?”
Moje pytanie brzmi: czy nasze serwery potrzebują połączenia z Internetem, aby konserwacja przebiegała jak system weryfikacji licencji? Czy może to zrobić offline? Czy to nie jest samo w sobie ryzyko, gdyby do naszego serwera produkcyjnego było połączenie z Internetem?
oracle
maintenance
security
Ludwi
źródło
źródło
Odpowiedzi:
Zwykle należy pobrać łatki z Internetu, a następnie zastosować je na serwerze. Jednak uzasadnione jest pośrednie kopiowanie łatek do pośredniej lokalizacji (nawet DVD), aby przejść między Internetem a serwerami bazy danych.
Jeśli chcą tylko oddzielnej maszyny w serwerowni, która może łączyć się z Internetem (np. Do czytania notatek o łatach), jest to inna opcja.
Wreszcie istnieje różnica między przeglądarką działającą na serwerze, która może łączyć się z Internetem, a faktycznym dostępem do serwera jako serwera z Internetu.
Wszystko zależy od tego, jak bezpieczne chcesz / musisz być.
źródło
Twoje serwery są podłączone do sieci, która ma inne urządzenia z dostępem do Internetu. Poprawny? Jestem pewien, że inni się nie zgodzą, ale uważam, że bezpieczeństwo zapewnione przez nie zezwalanie tym serwerom na bezpośredni dostęp do Internetu jest bardziej iluzoryczne niż cokolwiek innego.
źródło
Wykonujemy wiele prac konserwacyjnych na serwerach klientów, które nie mają dostępu do Internetu. Musimy wziąć wszystkie aktualizacje / łatki / oprogramowanie potrzebne do tej wizyty na CD / USB Stick. (Pozwalanie stronom trzecim na wnoszenie pamięci USB / płyt CD jest samo w sobie zagrożeniem bezpieczeństwa)
źródło
Zawsze możesz użyć iptables do skonfigurowania dokładnego źródłowego / docelowego adresu IP: pary portów, które chcesz pozostawić otwarte.
W ten sposób, nawet gdy serwer jest eksplorowany przez sieć WAN, możesz mieć pewność, że tylko zaufane adresy IP + prawidłowe dane uwierzytelniające uzyskają dostęp do niego.
Co więcej, możesz także użyć prywatnej-publicznej pary kluczy ssh , które mogą być współużytkowane tylko przez dwoje.
źródło
Wszystkie twoje serwery powinny znajdować się w strefie DMZ lub przynajmniej za zaporą ogniową. Prawie każdą zaporę ogniową można skonfigurować tak, aby zezwalała na połączenia wychodzące z dowolnego z tych serwerów (aby mogły samodzielnie sprawdzać i pobierać łatki bezpieczeństwa i inne aktualizacje). Następnie administratorzy systemu muszą skonfigurować zaporę ogniową tak, aby dozwolone było kilka bardzo specyficznych połączeń przychodzących. Jeśli są one potrzebne tylko do sporadycznej konserwacji, można je wyłączyć po zakończeniu konserwacji.
Do tego zadania używamy bram Linuksa z iptables do zapory ogniowej. Jednak standardowe zapory sprzętowe zrobią dokładnie to samo.
źródło
Pytanie brzmi - czy istnieje ryzyko zezwalania serwerom produkcyjnym na połączenia HTTP / S wychodzące z Internetem. Krótka odpowiedź brzmi NIE. Im dłuższa odpowiedź, że ryzyko bezpieczeństwa jest tak minimalne, że przewyższa koszty (pod względem czasu) zarządzania tymi serwerami.
Rozważ ryzyko związane z zezwoleniem na dostęp:
Pierwszą kwestię złagodził, ograniczając dostęp do Internetu do znanych stron i idealnie nie pozwalając wcale na przeglądanie stron internetowych. Ponadto administratorzy mają pewne zaufanie, że nie będą działać w złośliwy sposób.
W drugim punkcie, biorąc pod uwagę, że serwer został już w jakiś sposób skompromitowany, kwestia, czy dostęp do Internetu jest dostępny, jest kwestią sporną. Osoba atakująca znalazła już sposób na przeniesienie kodu do systemu, co oznacza, że może uzyskać dodatkowy kod do tego systemu lub pobrać z niego dane.
Oczywiście wszystko to może zależeć od konkretnych okoliczności (takich jak spełnienie określonych wymagań klienta lub przepisów).
źródło
Jakiego rodzaju połączenia potrzebują te serwery?
Jeśli jest to tylko połączenie HTTP ze stroną Oracle, dlaczego nie zmuszasz ich do używania serwerów proxy?
źródło
Dostęp VPN jest najlepszym wyborem!
źródło
odpowiedź nr 1 jest najlepsza teoretycznie - poziom bezpieczeństwa sieci jest równy poziomowi bezpieczeństwa najsłabszego komputera podłączonego do tej sieci
moim zdaniem podejście praktyczne byłoby:
źródło
Nawet jeśli zezwalasz na połączenie z Internetem dla niektórych serwerów, pozwól im używać OpenDNS jako serwera DNS.
źródło