Должны ли основные серверы системы иметь возможность подключаться к Интернету для обслуживания / поддержки?

Несколько наших серверов имеют лицензии на обслуживание Oracle. Наш поставщик оборудования спросил, есть ли подключение к интернету в серверной комнате. Наша политика заключается в том, что все машины в этой комнате изолированы от Интернета по соображениям безопасности. Но специалист по обслуживанию спросил: «Тогда как мы сможем выполнять работы по обслуживанию на ваших серверах?»

Мой вопрос: нужны ли нашим серверам подключение к Интернету для того, чтобы обслуживание выполнялось как система проверки лицензии. Или он может сделать это в автономном режиме? Разве это не риск сам по себе, если к нашему производственному серверу было подключено интернет?

Обычно вам нужно скачать патчи из интернета, а затем применить их к серверу. Однако разумно иметь промежуточный этап копирования патчей в промежуточное местоположение (даже на DVD), чтобы перейти между Интернетом и серверами баз данных.

Если им просто нужна отдельная машина в серверной комнате, которая может подключаться к Интернету (например, для чтения примечаний к патчу), это еще один вариант.

Наконец, есть разница между тем, чтобы на сервере работал браузер, который может подключаться к Интернету, и тем, чтобы сервер был фактически доступен как сервер из Интернета.

Все зависит от того, насколько безопасным вы хотите / должны быть.

Ваши серверы подключены к сети, в которой есть другие устройства с доступом в Интернет. Верный? Я уверен, что другие не согласятся, но я считаю, что безопасность, обеспечиваемая тем, что эти серверы не имеют прямого доступа к Интернету, иллюзорнее, чем что-либо еще.

Мы много занимаемся обслуживанием серверов клиентов, которые не имеют доступа к Интернету. Мы должны взять все обновления / исправления / программное обеспечение, которые нам нужны для этого посещения, на CD / USB Stick. (Разрешение третьим лицам вводить USB-накопители / компакт-диски само по себе является угрозой безопасности)

Вы всегда можете использовать iptables для настройки точного IP-адреса источника / назначения: пар портов, которые вы хотите оставить открытыми.

Таким образом, даже если сервер используется в глобальной сети, вы можете быть уверены, что только доверенные IP-адреса + правильные учетные данные получат к нему доступ.

Более того, вы также можете использовать пару закрытых и открытых ключей ssh , которые могут быть доступны только вам обоим.

Все ваши серверы должны быть либо в демилитаризованной зоне, либо, по крайней мере, за брандмауэром. Практически любой брандмауэр можно настроить для разрешения исходящих подключений с любого из этих серверов (чтобы они могли самостоятельно проверять и загружать исправления безопасности и другие обновления). И затем ваши системные администраторы должны настроить брандмауэр так, чтобы разрешалось несколько очень специфических входящих соединений. Если они нужны только для периодического обслуживания, их можно отключить после завершения обслуживания.

Для этой работы мы используем шлюзы linux с iptables для брандмауэра. Тем не менее, ваши стандартные аппаратные брандмауэры будут делать то же самое.

Вопрос заключается в том, существует ли риск, что рабочие серверы могут иметь соединения HTTP / S, исходящие из Интернета. Краткий ответ: нет. Чем дольше ответ, что риск безопасности настолько минимален, что перевешивает затраты (с точки зрения времени) на управление этими серверами.

Рассмотрите риски предоставления доступа:

1. Администратор загружает вредоносное ПО из Интернета на сервер.
2. Скомпрометированный сервер загружает дополнительный вирусный код или загружает конфиденциальную информацию в Интернет

Первое, что нужно сделать, - это ограничить доступ в Интернет к известным сайтам и в идеале вообще не разрешать просмотр веб-страниц. Кроме того, ваши администраторы уверены, что не будут действовать злонамеренно.

Во-вторых, учитывая, что сервер каким-то образом был уже взломан, вопрос о том, доступен ли доступ в Интернет или нет, является спорным вопросом. Злоумышленник уже нашел способ ввести код в ваши системы, а это значит, что он может получить дополнительный код для этой системы или извлечь из нее данные.

Очевидно, что все это может зависеть от конкретных обстоятельств (таких как выполнение определенных требований клиента или нормативных требований).

Какой тип соединения нужен этим серверам?

Если это только HTTP-соединение с веб-сайтом Oracle, почему бы вам не заставить их использовать веб-прокси?

VPN-доступ - ваш лучший выбор!

Ответ № 1 является лучшим в теории - уровень безопасности сети равен уровню безопасности самого слабого компьютера, подключенного к этой сети.

на мой взгляд, практический подход будет:

• внутренняя сеть разделена на подсети dot1q
• linux gateway -> весь трафик между подсетями проходит через него, и им можно легко управлять (и фактически, с доступом к основным серверам только для необходимых портов приложений и клиентов)
• внешнее соединение осуществляется только через зашифрованный vpn (pptp с mschap или openvpn)
• основные серверы имеют доступ к Интернету только по мере необходимости (maintenante, загрузки обновлений и т. д.) - также доступ к ним контролируется через шлюз - с помощью политики DROP

Даже если вы разрешите интернет-соединение для некоторых серверов, пусть они используют OpenDNS в качестве DNS-сервера.