Do ponto de vista generalista, parece que você fez a devida diligência em seu projeto geral de rede. Aqui estão algumas coisas que eu recomendo que você tenha em mente:
- Afie suas regras de firewall com muito cuidado. Como você já declarou, o seu DMZ2 não é acessível a partir da rede pública ou privada. Isso é ótimo! Você também afirmou que apenas alguns servidores podem acessar alguns outros servidores. Isso é ainda melhor! Certifique-se de que apenas o seu servidor de aplicativos possa acessar seu servidor SQL e, mesmo assim, apenas nas portas para as quais você precisa. Afine as necessidades de acesso de cada nó até o nível mais atômico!
- Colete registros de acesso de todos os seus dispositivos e monitore-os para eventos. Use o Splunk, talvez? Mesmo apenas Syslog. Certifique-se de que os dados de acesso e tráfego sejam mantidos a longo prazo. Verifique quem acessa seus dispositivos quando e por quê.
- Ative a análise de rede em seus dispositivos, se possível. Netflow / sFlow. Colete os dados e use softwares capazes de exibi-los de maneira significativa. Analise quais tipos de dados estão entrando e saindo de sua rede. Se nada te surpreende sobre o tráfego que você vê, você não está procurando o suficiente.
- Você também deve proteger os firewalls de software individuais para cada uma dessas máquinas de modo que, se, por acaso, seus firewalls de hardware forem comprometidos e / ou uma regra errônea for implementada, os firewalls de software também estão bloqueando o tráfego que você não usa. t quer.
- Documento até a ponta dos dedos sangrar, seus olhos lacrimejarem e você quiser ferir fisicamente a pessoa que inventou Wikis e repositórios de controle de documentos. Em seguida, documente um pouco mais. Você está entrando em um labirinto de passagens sinuosas todas iguais. Você precisará ser tão OCD com sua documentação que você precisará de paletas de Tofranil lançadas no ar para você (pacientes com TOC saberão o que é Tofranil.;)). Se alguém da sua equipe não documentar adequadamente em um ambiente de rede tão complexo, faça-o.
- Você também pode considerar a possibilidade de criptografar fluxos de dados sempre que possível. No que diz respeito à sua camada da Web, talvez considere criptografar os fluxos com IPSEC. Isso pode ser um pouco exagerado, eu admito.
O objetivo final não é apenas diminuir a superfície de ataque, mas observar o tráfego que tenta tocar nas superfícies disponíveis e não disponíveis. É como garantir que um banco tenha todas as melhores fechaduras, cofres e mantraps, mas nunca monitorar o equipamento para ver se alguém está tentando um assalto. Suponha que, se houver tempo suficiente sem supervisão, qualquer um pode fazer qualquer coisa.
O seu servidor web e de banco de dados são como frascos dourados de nitro glicerina. Suponha que todos os querem para seu próprio lucro e também queiram explodir seu rosto com eles no processo. Realmente, qualquer dispositivo voltado para o público é.
Você está no caminho certo! Ótimo trabalho em segmentar sua rede. Você é uma cabeça acima de seus pares. Agora tente colocar a cabeça e ombros acima da norma.