Мудрость представления сервера базы данных в Интернете?
Мы используем (и как) WhatsUp от Ipswitch для нашей относительно маленькой сети Windows. Это легко установить, и относительно легкий справиться, и знает, как иметь дело с серверами Windows, а также стандартным материалом.
Для больших сетей, не-Windows ориентированных на сети или сети с большим количеством варьировавшегося материала, я сердечно рекомендую OpenNMS. Программное обеспечение OpenNMS, если свободный и компания более, чем радо продать услуги по поддержке и услуги по внедрению. Это также, оказывается, выполняется очень резким моим другом из колледжа!
Представление базы данных не является действительно гигантской проблемой по сравнению с некоторыми из других сервисов, которые часто подвергаются world+dog... за исключением того, что это - сложная система с большим количеством потенциальных уязвимостей, включая эскалацию полномочий. Я удостоверился бы, что Вы не подвергаете базу данных общедоступным запросам и выполнению с требуемым SSL и т.д. Я сказал бы, что это возможно, но да, необходимо быть параноиками, и необходимо поддержать отдельную установку базы данных для общедоступной. Если Ваша компания, не готовая оплачивать издержки лицензирования для этого, да, skedaddle.
Со стороны клиента/поддержки, соединяясь непосредственно с базой данных могла бы быть проблема если определенные типы блоков ISP клиента портов или трафика.
В модели SaaS, что Вы будете обычно хотеть, чтобы Ваши программисты сделали, должен записать API, который может быть запрошен из приложения. API этой природы обычно работают по https и предоставляют данные назад приложению в ответе HTTP. Добавленная премия: Это работает отовсюду, где сеть работает, ОЧЕНЬ легко кэшировать наборы результатов с помощью memcached или другие технологии кэширования для сокращения нагрузки на сервер дб, и http автор вполне прилично поддерживается и тестируется.
-
1Я согласовываю, иду путем API – davr 4 June 2009 в 22:21
-
2Преимущество для этого состоит в том, что можно сделать анализ, чтобы видеть, использует ли кто-либо систему чрезмерно, популярные вызовы метода, непопулярные, и т.д. и т.д. – David Pashley 5 June 2009 в 11:48
Я настроил бы второй сервер базы данных в демилитаризованной зоне и дампы импорта в ту базу данных, и сделал бы ту рекламу базы данных доступной.
Поскольку я уверен, что Вы согласитесь, в значительной степени по определению, доступ и безопасность являются компромиссом. И для Вас определяют задачу с созданием доступных уязвимых данных.
Короткий ответ, можно снизить много риска с обманом брандмауэра, твердой сетевой архитектурой, обновленными наборами патча, контролем за доступом и обильными резервными копиями.
Управление паролями также приходит на ум как хитрая вещь выполнить, часто учетные записи приложения имеют пароли, которые никогда не истекают, и физические средства управления / средства управления доступом к сети помещаются на месте, чтобы гарантировать, что бывшие сотрудники со знанием пароля не могут получить доступ к данным. Если бы Ваш сервер базы данных выставляется всему Интернету, это походит на что-то, что было бы трудно сделать.
Вы, вероятно, также захотите определить, 'мы были скомпрометированы, что мы делаем теперь?' стратегия, так, чтобы Вы выровняли ожидания набора всех вовлеченных и имели план действий относительно того, когда Ваша удача заканчивается.
-
1
Я сказал бы для использования или или веб-сервисов API с веб-сервисами, предпочтенными, так как должно быть больше гибкости, в которой конечные пользователи (клиенты) соединяются с ними.
Часть 2, управление скажет "гайки тому, что, мы должны получить рынок ТЕПЕРЬ!" и не хочу тратить деньги, разрабатывающие его.
Часть 3, Вам нужно к convience управлению, почему представление базы данных непосредственно плохо, и затем придумывает много отчетов, отчетов безопасности, и т.д. Плюс также, если бы я думал об использовании Вашего программного обеспечения и это - SaaS, я хотел бы знать все о Вашей безопасности, и как только я узнал, что Вы выставляете базу данных, соглашение выключено.
-
1+1 для распознавания того управления isn' t собирающийся ожидать разработки API. – John Clark 8 June 2009 в 16:31
SaaS является товарами.
Представление сервера базы данных к Интернету - не настолько хороший.
Почему им нужен в выставленный? Это из-за RPC, и они не хотят использовать порты Static RPC?
Но существуют некоторые большие брандмауэры приложения и если Вы блокируете вниз endmapper порт DB и затем брандмауэр это - можно сделать некоторый хороший материал с ACLs, ограничениями IP, и т.д.
И Вам будет нужно к журналам события аудита, сканированию уязвимости, и т.д.
Сохраните сервер БД безопасно позади брандмауэра. При необходимости запишите веб-сервисы, которые живут на общедоступном веб-сайте, который имеет туннель к серверу БД. Удостоверьтесь, что веб-сервисы имеют ограниченный доступ к DB. Если требование - то, что они делают создание отчетов, то для веб-сервисов только нужен доступ только для чтения. Я, вероятно, создал бы представления данных, я хотел представить, и предоставить доступ для чтения им, не к самим базовым таблицам.
Как сказанный Rob, контролируйте все, выполните сканирования уязвимости, включайте доступ, входящий в систему сами приложения веб-сервиса, таким образом, Вы видите, кто получил доступ какой и когда.
Мы используем несколько приложений SaaS в ходе нашего бизнеса, и они делают это два пути.
- Обеспечьте веб-возможности создания отчетов
- Позвольте экспорту базы данных в стандартном формате для клиента писать их собственные отчеты "офлайн" (CSV, MDB, и т.д.)
- Выставьте базовые данные через веб-сервисы
Помимо безопасности, необходимо волноваться о производительности в multi-tennant системе. Вы не хотите, чтобы плохо письменный отчет одного пользователя в Crystal влиял на всех других пользователей создания отчетов.