Controle TLS separado para MSSQL e IIS

Navegue suas respostas
1

Temos um sistema que precisa fornecer banco de dados e serviços da web. Queremos bloquear as configurações de segurança TLS no mais alto grau possível. Ele está executando o MS SQL 2008 no Windows Server 2008 R2.

Eu sei que o SQL Server 2008 não suporta nenhum protocolo superior ao TLS 1.0. No entanto, eu ainda gostaria que o serviço da Web rejeitasse as tentativas de negociação de entrada do TLS 1.0. O melhor que posso dizer é que ambos parecem ser controlados através das mesmas chaves de registro SCHANNEL.

Existe alguma maneira de controlar separadamente a negociação de TLS para MSSQL e IIS, no mesmo sistema, de modo que o MSSQL tenha permissão para usar o TLS 1.0, mas o IIS é forçado apenas para o TLS 1.1 / 1.2?

    
por Iszi 21.10.2015 / 21:31

2 respostas

2

Esse é um incômodo comum não limitado ao SQL, mas também pode ocorrer se os servidores da Web precisarem se conectar a terceiros que não suportam o TLS 1.1 ou 1.2 (webservices, etc.). A maneira como contornamos isso é com um balanceador de carga (MS ARR) na frente dos servidores da web. O nó ARR tem a configuração SSL bloqueada para suportar apenas o TLS 1.1 e 1.2, mas o TLS 1.0 ainda está ativado nos nós da web reais. Os sites de cluster ARR na DMZ e proxies para os servidores da Web em outra zona.

    
por 28.10.2015 / 21:14
1

Todos os servidores Windows fazem uso do provedor de segurança SCHANNEL. A única maneira de contornar isso seria se pelo menos um de seus produtos fornecesse seus próprios provedores de segurança. Nem o IIS nem o MSSSQL fazem isso. Eu não vi um único produto Microsoft que faz.

Eu sugiro que você morda a bala e segmente isso para dois servidores. Se o hardware físico é uma preocupação, olhe para configurar o hyperv e duas VMs.

Caso você não ache que configurar um proxy reverso de algum tipo - digamos, o Apache - pode ajudá-lo.

    
por 21.10.2015 / 23:29

Tags

lentidão do SMTP no Ubuntu iptables erro com nenhum arquivo ou diretório