Dois servidores hospedados, um público - VPN?

2

Desenvolvedor da Web aqui que ocasionalmente usa um sistema & chapéu de administrador de rede (pequena empresa). Atualmente, temos um único servidor hospedado executando o Windows Server 2003 que executa nosso servidor da Web (IIS / Coldfusion) e nosso servidor de banco de dados (SQL Server 2008). Bloqueamos o servidor SQL, permitindo que apenas IPs específicos se conectem a ele. Não é ideal, mas funcionou até agora.

Estamos mudando para dois servidores distintos e quero aproveitar a oportunidade para "acertar as coisas" e fazer com que apenas o servidor da Web enfrente o público. O que eu preciso ser capaz de fazer é permitir que apenas algumas pessoas se conectem ao servidor de banco de dados.

Em vez de usar uma lista de permissões de IP, prefiro usar uma VPN para permitir que as pessoas acessem o acesso com base no usuário e não apenas na localização do usuário. Eu estou inclinado para algo como OpenVPN, apenas para que eu possa ficar com o Server 2008 Web edition. Eu:

  • Use o servidor da web como um servidor VPN e configure o servidor de banco de dados para aceitar apenas conexões do servidor da web? Existe uma etapa extra necessária para fazer conexões para, digamos, db.mycompany.com percorrer a VPN em vez de uma conexão diferente? Eu sou ignorante desta parte das coisas de infra-estrutura de rede. Ou
  • Configurar um servidor VPN no servidor de banco de dados como a única conexão de servidor voltada para o público, para que não haja problemas de roteamento?

Eu sei que isso é coisa da Rede 101, mas eu pensei em perguntar antes, só que poderia afetar a empresa um pouco. Muito obrigado!

    
por Aquitaine 08.06.2010 / 00:49

1 resposta

0

Eu moveria VPN para o firewall (qualquer Cisco básico pode lidar com isso muito bem)

Configure duas zonas, sua "zona segura", que contém seu banco de dados & servidores de back-end, qualquer coisa que armazene informações privadas ou confidenciais.

Em seguida, sua DMZ para seu (s) servidor (es) da web. Se o seu servidor web for invadido (é mais uma questão de quando, então se.) Eles não têm acesso direto a máquinas com informações confidenciais.

Edit: Supõe-se que você tenha um firewall capaz de fazer VPN. (você não mencionou nada sobre um firewall. Se você não fizer isso, eu colocaria a VPN no servidor da Web. Não a opção melhor , mas poderia ser pior. Eu também sugiro algum tipo de logging / Para os seus servidores da web, no caso de ficarem comprometidos, você saberá o mais rápido possível.Esperamos que você possa desligá-los antes de obter as Chaves VPN, começar a martelar seus bancos de dados ou começar a causar grandes problemas: P. >

    
por 08.06.2010 / 01:10