Eu configurei plataformas para empresas de grande porte e a prática normal é garantir que seus bancos de dados estejam em uma VLAN diferente de seus servidores da Web com um firewall instalado entre esses tráfegos de roteamento e apenas um firewall na frente de seus servidores da web. Normalmente, o firewall frontal encaminhará a porta 80 (HTTP) e a porta 443 (HTTPS) para os servidores da web. O firewall colocado entre o servidor da Web e o servidor de banco de dados encaminhará o tráfego dos servidores da Web para a porta usada pelo banco de dados (geralmente, a porta 1433, se estiver usando o Microsoft SQL Server).
Para maior segurança:
- Certifique-se de usar uma conta com menos privilégios para acessar os servidores de banco de dados
- Se você estiver usando o ASP.NET, poderá criptografar sua string de conexão com o banco de dados no arquivo web.config
- Contrate uma empresa terceirizada para realizar um teste de penetração para avisar sobre quaisquer vulnerabilidades
- Garantir que atualizações e service packs sejam instalados regularmente.
Se o seu banco de dados for o banco de dados MI6 ou CIA, provavelmente os administradores de rede estarão certos, mas também parece que eles estão exagerando.
Se o banco de dados contiver dados que não podem ser expostos a uma rede pública, mas os dados de que seu banco de dados precisa não são tão sensíveis, você poderia replicar as tabelas que seu site requer para um banco de dados que esteja em seu ambiente de hospedagem? / p>
Eu perguntaria a eles:
- Se um hacker obtiver acesso ao servidor da web, ele poderá chamar seus serviços da web?
- Se uma vulnerabilidade for descoberta no IIS, o que permitiu que eles acessassem seu servidor da Web, certamente eles simplesmente explorariam a mesma vulnerabilidade no servidor da Web que hospeda seus serviços da Web?
- Eles poderiam instalar software que monitora a entrada do usuário para capturar senhas na memória?