Почему мой веб-сервер должен находиться в отдельной сети? (Azure)
Для начала, я полностью понимаю, что веб-сервер должен находиться в отдельной сети, в DMZ, а не подключаться к домену (или, по крайней мере, в другом лесу). Тем не менее, я разработчик веб-сайтов и привел этот аргумент в пользу нетворкинга.
Я привел аргумент, что если кто-то должен получить контроль над веб-сервером, вы не захотите, чтобы между указанным сервером и контроллером домена существовали доверительные отношения. Но я не совсем понимаю, как подтвердить, что эти доверительные отношения могут вызвать проблемы.
Другими словами, как взломать корпоративную сеть, получив доступ к сетевому веб-серверу, и как эти принципы меняются, когда речь идет о лазурной виртуальной сети с VPN между сайтами и локальной сетью.
Насколько мне известно, веб-сервер в отдельной виртуальной сети или подсети является более безопасным решением. См. Снимок экрана ниже:
Веб-сервер находится на переднем конце сети. . Прямое общение через Интернет. Входящие пакеты должны проходить через устройства безопасности, такие как межсетевой экран, IDS и IPS, прежде чем попадут на внутренние серверы. Связанные с Интернетом пакеты от рабочих нагрузок также могут проходить через устройства безопасности в сети периметра для обеспечения соблюдения политик, проверки и аудита, прежде чем покинуть сеть. Кроме того, в сети периметра могут размещаться межведомственные VPN-шлюзы между клиентскими виртуальными сетями и локальными сетями.
Дополнительные сведения см. В этой статье .
Разработка безопасных приложений кардинально не изменится, если вы развертываете Платформа Cloud IaaS или локальная платформа. Концепции те же, но есть небольшие отличия. Двухуровневое или трехуровневое развертывание веб-приложений предполагает, что каждый уровень является частью домена безопасности. Основная причина заключается в том, чтобы ограничить влияние компрометации одного на другие уровни. Обычно лобовая часть разворачивается в зоне DMZ. Фронтальный уровень напрямую открыт для пользователей (общедоступный), поэтому более уязвим, но в то же время не должен содержать конфиденциальные данные или данные, разрешающие доступ к другим уровням (зашифрованные данные, нет учетных записей привилегированного доступа, возможно, другой домен) . Если злоумышленник получает доступ к фронтальному уровню, то, если другие уровни развернуты в разных зонах безопасности с ограниченными авторизованными потоками,злоумышленнику будет сложнее легко получить к ним доступ, и, таким образом, вы сможете обнаружить брешь, пока не стало слишком поздно. Даже если вы находитесь в Azure, вы можете применить NSG к каждой виртуальной машине, чтобы она была похожа на то, когда она находится в другой сети, максимизация безопасности - это божественная практика. Кроме того, логически проще взломать что-либо в той же виртуальной сети или подсети, чем в другой подсети. Наконец, вам не нужно иметь еще одну виртуальную сеть: другой подсети достаточно для достижения того же уровня безопасности и упрощения платформы.