Необходимо было бы обычно загружать патчи с Интернета, затем применяют их к серверу. Однако разумно иметь промежуточный шаг копирования патчей к промежуточному местоположению (даже DVD) для движения между Интернетом и серверами баз данных.
Если они просто хотят отдельную машину в серверной, которая может соединиться с Интернетом (например, для чтения примечаний патча), это - другая опция.
Наконец, существует различие между наличием браузера, работающего на сервере, который может соединиться с Интернетом и наличием сервера, на самом деле доступного как сервер из Интернета.
Все это зависит от того, как безопасный Вы хотите/нуждаетесь быть.
Ваши серверы подключены к сети, которая имеет другие устройства с доступом в Интернет. Корректный? Я уверен, что другие не согласятся, но я верю безопасности, предоставленной, не позволяя те серверы, прямой доступ в Интернет более иллюзорен, чем что-либо еще.
Мы делаем большое обслуживание на клиентских серверах, которые не имеют никакого доступа к Интернету. Мы должны взять все обновления/патчи/программное обеспечение, в которых мы нуждаемся для того посещения на CD / Карта с интерфейсом USB. (Разрешающий третьим сторонам ввести ПАЛКИ/CD USB угроза безопасности в своем собственном),
Можно всегда использовать iptables для конфигурирования точного источника/места назначения пары IP:Port, что Вы хотите сохранить открытыми.
Тот путь, даже когда сервер является explosed по WAN, можно удостовериться, что только доверяемый дюйм/с + корректные учетные данные получит доступ к нему.
Кроме того, можно использовать частную общественность ssh пара ключей также, которая может быть совместно использована только среди двух из Вас.
Все Ваши серверы должны быть или в демилитаризованной зоне или по крайней мере позади брандмауэра. Примерно любой брандмауэр может быть настроен для разрешения исходящих соединений с любого из этих серверов (так, чтобы они могли проверить на и загрузить патчи безопасности и другие обновления самостоятельно). И затем это до Ваших системных администраторов для конфигурирования брандмауэра, таким образом, что некоторые, очень определенные входящие соединения позволяются. Если они только необходимы для случайного обслуживания, они могут быть отключены, после того как обслуживание закончено.
Мы используем шлюзы Linux для этого задания с iptables для брандмауэра. Однако Ваши брандмауэры стандартного оборудования сделают точно то же.
Доступ VPN является Вашим лучшим выбором!
Даже если Вы позволяете интернет-соединение для некоторых серверов, которым позволяют, они используют OpenDNS в качестве своего сервера DNS.
Вопрос - там риск в разрешении рабочих серверов иметь соединения HTTP/S, исходящие к Интернету. Короткий ответ НЕТ. Более длинный ответ, что угроза безопасности так минимальна, что это перевешивает стоимость (с точки зрения времени) для управления теми серверами.
Рассмотрите риски предоставления доступа:
Первая точка смягченный, ограничивая доступ в Интернет известными сайтами и идеально не позволяя просмотр веб-страниц вообще. Кроме того, существует определенное доверие Вашим администраторам для не действия злонамеренным способом.
На второй точке полагая то, что сервер был уже поставлен под угрозу некоторым способом, доступен ли доступ в Интернет, является спорным вопросом. Взломщик уже нашел способ надеть код к Вашим системам, что означает, что они могут получить дополнительный код к той системе или получить данные из него.
Очевидно, это может все зависеть от определенных обстоятельств (как встреча определенного клиента или нормативных требований).
ответ № 1 является лучшим в условиях теории - уровень безопасности сети равен уровню безопасности самого слабого компьютера, подключенного к той сети
руки на подход были бы в моей точке зрения: