DCSIMG
עמוד הבית| חבילות השירות שלנו| חומר חופשי| צור קשר
ארכוויז מס’ 3 – האם להפריד בסיס נתונים בפיירוול? - בלוג היועצים של מיקרוסופט ישראל

בלוג היועצים של מיקרוסופט ישראל

ארכוויז מס’ 3 – האם להפריד בסיס נתונים בפיירוול?

Alik Levin     אני בטוח שהשתתפת בלא מעט דיונים עם חברים ממחלקת אבטחת מידע, אה? אני גם בטוח שניהלת שיחה מסוג זה – האם להפריד את בסיס הנתונים ב-Firewall מהאפליקציה. קרה פעם או פעמיים?

 

אני לא חושב שיש תשובה חד משמעית והכול תלוי ברמת סיכון ובמאמץ שנדרש כדי למגר את הסיכון. הנה כמה שאלות שכדאי לשאול לפני קבלת החלטה:

  • האם רמת הסיכון בסביבת אינטראנט היא אותה רמת הסיכון כמו בסביבת אינטרנט? סביר להניח שלא, אלא אם כן סביבת האינטראנט כוללת משתמשים קרימינאלים מדופלמים מרובים.
  • האם ישנו כח אדם מתאים ומספיק כדי לנהל את חוקי ה-Firewall שמפרידים בין אפליקציה לבין בסיס הנתונים?

הנה דוגמה קטנה שיכולה להפוך החלטה לכאן או לכאן. הזדהות מומלצת ל-SQL Server היא Windows Integrated Authentication. כדי לבצע הזדהות כזו דרך Firewall נדרש לפתוח לא מעט פורטים, חלקם לא כל כך אהובים ע”י אנשי אבטחת מידע כמו 135. אם ההחלטה נופלת להציב FW ואנשי FW לא מוכנים לפתוח את הפורטים אז האפליקציה תצטרך להשתמש ב-SQL Authentication שהיא פחות מאובטחת עקב צורך ניהול פרטי הזדהות – שם משתמש וסיסמה.

 

מה השיקולים שלך להפרדה או אי הפרדה של בסיס הנתונים מאפליקציה בעזרת Firewall?

מה טכניקות נוספות שהיית ממליץ?

שירותי MCS רלוונטיים

חומר רלוונטי

 

שמי אליק לוין ואני מתרכז ב- Architecture, Security, and Performance באפליקציות Net.

בזמני הפנוי אני מפתח את עצמי בתחומים רבים אחרים.

 

This template is made with PracticeThis.com plugin for Windows Live Writer

פורסם: Oct 25 2009, 08:07 AM by alikl | with 6 comment(s)
תגים:, ,

תוכן התגובה

Yossi Elkayam כתב/ה:

הי אליק , יופי של פוסט.

אך מה עם בסיסי נתונים שמבוססים רק על NTLM או קרברוס כגון OLAP? האם השיטות שאני רואה בשטח כגון PUSH של נתונים מוצפנים או לא היא הדרך הנכונה?

תודה

# October 25, 2009 9:50 PM

alikl כתב/ה:

יוס, תודה! נקודה טובה.

לא שונה - עדיין חייבים לשקול את הסיכונים ובהתאם להפריד או לא ב-FW

אם תפריד ב-FW שוב תתקל באותה הסיבוכיות של פתיחת פורטים מכיוון שאתה זקוק לNTLM ו-KERB

# October 26, 2009 8:37 AM

Yuval Leshem כתב/ה:

גישה ישירה (שלא על ידי שכבה אפליקטיבית) לבסיס הנתונים תמיד תהיה פתח לצרות.

רוב שרתי הDB שאני מכיר עטופים בשכבת ACCESS כלשהיא.

ההמלצה שלי (אם אין שום ברירה אחרת) תהיה שרת FWD עם אפליקצית Single Sign On כלשהיא בלבד עליו. בסיס הנתונים ידבר רק עם הIP של השרת (שנמצא לידו), השרת יבצע אותנטיקציה עבור כל לקוח אפשרי, לקוחות לא יוכלו להעביר בקשות, ו"לחטוף" בקשה לא יעזור, כי האותנטיקציה היא תלוית זמן.

# October 26, 2009 9:16 AM

alikl כתב/ה:

יובל!

אחלה תוספת!!

# October 26, 2009 6:43 PM

yuval leshem כתב/ה:

אליק - תודה על המחמאה. הרבה מטכניקות ה"ענן" מיושמות על ידי "שרת קדמי" שאחראי לאותנטיקציה וLoad balancing, וחוות שרתים מאחורה... אולי רעיון טוב לפוסט אורח הבא :)

# October 27, 2009 7:57 PM

alikl כתב/ה:

בהחלט, אחד התרחישים של הענן הוא להיות ה-DMZ. אני חושב שפוסט לנושא של ענן יהיה מואד מואד מרענן

מצפה לטיוטא :)

# October 27, 2009 10:35 PM
שלח תגובה

(שדה חובה)  

(שדה חובה)  

(אופציונלי)

(שדה חובה) 

Please add 1 and 4 and type the answer here:


Enter the numbers above: