Question:
Comment expliquez-vous aux experts qu'un serveur de base de données ne doit pas résider dans la DMZ?
bruce bana
2014-11-27 17:32:16 UTC
view on stackexchange narkive permalink

Nos experts en sécurité, nos administrateurs de base de données, notre équipe réseau et notre équipe d'infrastructure disent tous qu'il est acceptable que le serveur de base de données soit situé dans la DMZ avec le serveur HTTP et le serveur middleware.

Leur raison:

Si le serveur de base de données est compromis (à cause d'un niveau intermédiaire non sécurisé), au moins le serveur de base de données est en dehors du système interne. S'il se trouve à l'intérieur de notre réseau, le pirate peut alors utiliser le serveur de base de données pour accéder à d'autres systèmes.

Ce qu'ils disent est:

  1. Ne mettons pas le serveur middle -ware derrière un deuxième pare-feu et le serveur de base de données derrière un troisième pare-feu.
  2. Utilisons un seul pare-feu (celui du serveur HTTP) au cas où un hacker voudrait récupérer les données sensibles de notre base de données, au moins c'est tout ce qu'ils peuvent obtenir.

La deuxième déclaration a en fait été dite ... verbatim.

Veuillez noter que ce serveur de base de données sera sensible informations, y compris les coordonnées bancaires.

Maintenant, ces experts ont-ils un sens pour vous? Je suis développeur de logiciels et je ne comprends pas leur logique. C'est comme: "Mettez la boîte à bijoux à l'extérieur de la maison pour que les voleurs ne prennent pas la peine d'entrer pour la télé?"

ma conclusion - ces personnes ne sont pas des experts en sécurité
Il y a toute une équipe de sécurité qui a examiné cela. Il est difficile d'imaginer que personne ne pourrait voir un problème - à moins que je ne me trompe vraiment.
Dans cette situation, DMZ signifie-t-il zone démilitarisée? Ou a-t-il une signification différente en ce qui concerne les DB et autres?
"DMZ signifie zone démilitarisée, un terme standard de l'industrie faisant référence à la guerre de Corée. Une DMZ est un serveur isolé par des pare-feu à la fois d'Internet et de l'intranet, formant ainsi un tampon entre les deux." depuis: https://docs.oracle.com/cd/B14099_19/core.1012/b13999/rectop.htm
Mais vous n'êtes pas obligé d'avoir une seule DMZ. Vous pouvez avoir plusieurs anneaux de confiance.
Avez-vous pensé que vous devrez peut-être prendre des mesures à un moment donné pour attirer l'attention des utilisateurs finaux et peut-être du grand public, afin de vous assurer que ce type de «sécurité» n'est jamais réellement utilisé?
Si le serveur Web est compromis, à quoi sert un pare-feu? Vous devrez autoriser le serveur Web à se connecter à la base de données, et il aurait également les informations d'identification pour le faire. Toutes les données auxquelles le serveur Web est autorisé à accéder dans la base de données peuvent être accédées par un attaquant qui a compromis le serveur Web.
Sobrique, je ne comprends pas ce que vous entendez par des anneaux de confiance. Je ne suis pas un expert en sécurité. S'il vous plaît, expliquez? njzk2, c'est vraiment tentant mais ça me ferait perdre mon travail. Et ils pourraient embaucher quelqu'un avec un QI similaire comme le leur comme remplaçant ... alors cela n'aurait pas été une action responsable de ma part. :-) kasperd, Ce que je suggérais, c'était d'avoir à la fois le middleware et les serveurs de base de données en dehors de la DMZ et les deux devraient avoir leurs propres pare-feu.
Cette question ne fournit aucun contexte pour évaluer correctement la situation. De quoi parle le nouveau système, quel type de données se trouve dans la DMZ, quel est votre modèle de menace? De nombreux facteurs doivent être pris en compte pour évaluer s'il est judicieux de placer la base de données dans la zone sécurisée existante, ou si vous avez besoin d'une nouvelle zone sécurisée, ou s'il est judicieux de la placer à l'extérieur dans la DMZ. Faute de contexte, il n'y a que des réponses non informées ci-dessous faisant des déclarations généralisées.
J'ai la même question que kasperd ci-dessus. Une fois que votre serveur Web est compromis, pourquoi le nombre de pare-feu derrière votre serveur de base de données est-il important? Il est clair que le serveur Web doit a) avoir accès au serveur de base de données via les pare-feu pour effectuer des requêtes (même s'il doit effectuer des requêtes via le middleware) et b) ces informations d'identification sont stockées sur le serveur Web. En supposant que votre base de données ne contienne que les données auxquelles votre serveur Web peut accéder, quel que soit le nombre de pare-feu que vous placez, une fois que votre serveur Web est compromis, vous n'avez pas de chance, l'attaquant peut tout extirper de la base de données.
Je ne comprends généralement pas pourquoi les experts en sécurité, les administrateurs de bases de données, l'équipe réseau et l'équipe d'infrastructure diraient / encourageraient quelque chose comme ça. Est-ce vraiment une donnée critique sur ce serveur de base de données? Existe-t-il des données client sensibles et ces données sont-elles accessibles en dehors de localhost? Cela signifie-t-il que le serveur Web ne fait que passer des appels `localhost`?
@kasperd C'est l'une des raisons pour lesquelles je suis toujours un grand fan des procédures stockées. Vous pouvez accorder au serveur Web des privilèges pour exécuter une procédure stockée sans lui accorder aucun accès aux tables de base. Mais je suis aussi tout à fait conscient que la "norme" de nos jours est dans de nombreux cas d'accorder simplement au serveur Web un accès complet à la base de données. Ce avec quoi, bien sûr, je ne suis pas d'accord. ;-)
Vous présentez votre démission et demandez que toutes vos données personnelles soient effacées de leurs systèmes ... Vous serez mieux pour cela.
N'expliquez pas trop s'ils ne peuvent pas / ne veulent pas les comprendre. Prévenez-les, par écrit. Après chaque chose idiote imposée à vous, donnez-leur un avertissement. Après avoir recueilli suffisamment d'avertissement, vous deviez envisager deux options: 1. avez-vous une meilleure possibilité d'emploi 2. l'entreprise est-elle encore en mesure de travailler avec vous. Chaque entreprise (chaque collectif humain) a sa limite, jusqu'à ce qu'elle vous permette de vous élever. Si vous avez atteint ce point, vous ne pouvez pas vous élever plus haut plus efficacement. Dans de nombreux cas, ils vous sous-estiment tout simplement.
Pourquoi avez-vous même besoin (ou voudriez-vous) avoir un serveur de base de données dans une zone accessible de l'extérieur? Un serveur de base de données ne doit jamais exécuter des procédures stockées qu'à partir d'un nombre limité d'hôtes bien connus (ici, les serveurs Web), et il ne doit pas être visible ou accessible de quelque manière que ce soit de l'extérieur, ni être contrôlable par des hôtes "de confiance" qui sont accessibles de l'extérieur (et éventuellement compromis) autrement qu'en exécutant des processus stockés rigoureusement vérifiés. De plus, je remplacerais ces experts au moment où ils disent "au moins ils n'obtiennent que la base de données", pour être honnête.
Huit réponses:
AviD
2014-11-27 17:40:56 UTC
view on stackexchange narkive permalink

C'est comme: "Mettez la boîte à bijoux à l'extérieur de la maison pour que les voleurs ne prennent pas la peine d'entrer pour la télé?"

Oui, c'est exactement comme ça.

Si vous ne vous souciez pas de la valeur de la base de données, relativement parlant, alors assurez-vous qu'il est logique de la laisser à l'extérieur - si l'on suppose que l'application est horriblement non sécurisée, mais que vous devez la mettre de toute façon pour une raison quelconque, et que vous ne voulez pas le sécuriser, alors c'est logique comme moyen d'isoler cet horrible système non sécurisé de tous les autres systèmes internes.

D'un autre côté, il n'y a vraiment aucune excuse pour s'attendre à avoir une telle application non sécurisée qui permet une prise de contrôle complète du serveur de base de données. Il n'y a pas non plus de vraie raison d'utiliser «l'exposition» comme alternative à «l'isolement» - il existe des solutions simples pour le faire correctement.

En fin de compte, il semble que ce soit l'une des 2 situations possibles:

  1. Ces soi-disant «experts» sont vraiment ignorants.
  2. Il y a d'autres exigences commerciales qui sont en train d'être négociées ici.

Je pense que votre analogie fonctionne parfaitement. S'ils vous disent ensuite l'équivalent de "En fait, ces bijoux sont faux, oh et btw le téléviseur est vraiment un travail personnalisé de 60" 5K avec des jantes en or ", alors cela pourrait être un compromis raisonnable (encore mieux de le faire correctement, bien que ).
Sinon, il est probable qu'il n'y ait aucun moyen de l'expliquer, car ils travaillent par manque de connaissances.

Le problème est que je fais partie de l'équipe qui développe l'application Web. Si des informations sont divulguées, il est assez facile de désigner l'application comme le coupable lorsque tout se trouve dans la DMZ. Nous parlons de milliards de dollars ici ... pas seulement de la petite caisse. De mon point de vue, c'est n ° 1. C'est pourquoi c'est frustrant et je voudrais vraiment les éduquer gentiment sans être arrogant. De plus, si le port et les adresses IP sont filtrés, le seul moyen d'accéder à la base de données est d'appeler la base de données ... quelqu'un peut-il vraiment utiliser des scripts SQL pour exécuter un terminal et accéder à d'autres systèmes internes?
En passant, pour donner du contexte, l'entreprise a besoin de l'application Web à deux facteurs d'authentification via l'authentification par mot de passe et le générateur de clé de jeton ... c'est à quel point les données sont sensibles. Donc je me gratte vraiment la tête sur celui-ci.
Hmm ... peut-être devriez-vous ajuster votre analogie "Laissez la boîte à bijoux à l'extérieur de la maison pour que les voleurs ne fassent pas de dégâts dans la cuisine quand ils préparent un sandwich parce qu'ils ont faim en faisant tous les vols."
Bien que dans ce cas, la meilleure solution serait de laisser de côté une assiette de cookies, mais je pense qu'à ce stade, l'analogie commence à s'effondrer ....
Personne ne sait vraiment se sentir seul tant qu'il n'est pas entouré d'idiots. *soupir*
Je me demande si l'authentification forte est un facteur dans leur réflexion ... pour aller plus loin dans l'analogie, peut-être considèrent-ils que l'authentification forte s'apparente à un périmètre surveillé avec une porte d'accès mantrap (donc en théorie, seules les personnes en qui nous avons confiance prendre la boîte à bijoux peut aller dans le jardin). N'empêche pas quelqu'un de sauter par-dessus la clôture quand les gardes ne regardent pas.
Ouais. L'authentification à deux facteurs rend l'application Web très sécurisée. Cependant, la configuration matérielle compromet cette mesure de sécurité. Vous avez une grande porte en acier et des gardes à l'avant, puis une clôture à piquets à l'arrière.
DerekM
2014-11-28 01:06:06 UTC
view on stackexchange narkive permalink

«Rendre votre réseau sûr pour les bases de données» de SANS ( http://www.sans.org/reading-room/whitepapers/application/making-network-safe-databases-24) lit un peu daté dans certaines sections, mais fournit un niveau de guidage décent "pour les nuls" dans la direction que vous recherchez.

Vous pouvez également vous épuiser en parcourant le centre de ressources du NIST américain ( http://csrc.nist.gov/). Je pense que l'ISO / CEI 27033-2: 2012 de l'ISO serait également sur le sujet, mais je n'en ai pas d'exemplaire sous la main pour être sûr.

Vous essayez de séparer / isoler les serveurs les plus sensibles (les serveurs de bases de données) des plus exposés (et donc vulnérables).

Vous proposez une "défense en profondeur ", qui vise à a) empêcher les attaques lorsque cela est possible, et b) retarder leur progression (et l'accès aux éléments importants) dans le cas contraire.

Idéalement, tout est toujours renforcé et corrigé, les serveurs n'écoutent que le trafic sur les ports requis, et uniquement à partir des appareils autorisés, tout le trafic "en vol" est inaccessible aux auditeurs non autorisés (par cryptage et / ou isolation) , et tout est surveillé pour l'intrusion et l'intégrité.

Si tout cela est en place avec une certitude à 100%, alors tant mieux, votre "opposition" a abordé le point a) ci-dessus, autant que possible . Bon début, mais qu'en est-il du point b)?

e Si un serveur Web est compromis, l'architecture que vous proposez est bien meilleure. Leur empreinte potentielle d'attaque, et leur vecteur, sont beaucoup plus importants que nécessaire.

La justification de la séparation de la base de données des serveurs Web n'est pas différente de la justification qu'ils ont acceptée pour séparer les serveurs Web du LAN. Plus franchement: s'ils sont tellement convaincus qu'un serveur Web compromis ne présente aucun danger pour les autres systèmes de la même zone de sécurité, pourquoi pensent-ils qu'une DMZ est nécessaire?

C'est terriblement frustrant d'être dans votre situation. À tout le moins, à votre place, je créerais une note de risque décrivant vos préoccupations et suggestions, et je m'assurerais qu'ils en tiennent compte. CYA, de toute façon.

Merci à tous pour vos réponses. J'aurais aimé pouvoir accepter toutes les réponses, mais celle-ci était ce que j'ai directement utilisé pour expliquer les avantages et les inconvénients de l'utilisation d'une architecture de sécurité réseau à 3 niveaux. J'ai pu convaincre l'un des jeunes membres de l'équipe de sécurité en résumant toutes vos réponses avec ceci comme point principal. Il a finalement expliqué aux autres équipes pourquoi cela devrait être fait.
Pour plus d'informations sur ce sujet à l'avenir (au cas où vous auriez besoin de plus de munitions), le terme est «N Tiered Architecture». (pour les recherches google)
J'ai posté un commentaire sur la question, mais la réalité est: De quel type de serveur de base de données s'agit-il? Quelle est l'application? Quel est le risque réel d'une compromission complète des données?
Rory Alsop
2014-11-27 18:16:50 UTC
view on stackexchange narkive permalink

Si la base de données contient les détails de la carte, on peut très facilement affirmer que vous ne remplissez pas les exigences PCI DSS en matière de protection appropriée.

Il échoue également aux vérifications de cohérence sur les points de défaillance uniques et à la protection de vos actifs de base.

Si les données valent des milliards, pourquoi ne dépenseriez-vous pas quelques milliers de plus pour les ajouter couches de protection? Les bonnes pratiques de l'industrie sont d'avoir des zones de sécurité en couches.

Vous pouvez les orienter vers PCI, le guide des bonnes pratiques de l'ISF et bien d'autres.

Aucun détail de carte de crédit, donc je ne peux pas utiliser la conformité PCI comme facteur de motivation. Merci d'avoir signalé ISF. Je n'en suis pas conscient. Je ne compte que sur les bonnes pratiques de mes pairs des projets précédents que j'avais et cette configuration actuelle ne fait que rendre mes sonnettes d'alarme folles.
Connaissez-vous des réglementations internationales qui exigent la non-exposition des comptes bancaires et des détails de paiement?
Si vous ne détenez pas les détails de votre carte de crédit, que détenez-vous? Information sur le compte? Informations sur la visite du patient? des plans pour les OVNIS fabriqués en Amérique? Si c'est aussi sensible, vous devriez peut-être viser ce niveau de sécurité ou des niveaux similaires exigés par les systèmes de dossiers de santé électroniques utilisés pour les informations sur les patients. Aucune info CC là-bas, mais vous êtes vissé sur le côté si vous perdez CETTE base de données ....
Je ne pense pas que le stockage des détails CC dans la base de données soit un problème tant qu'ils sont cryptés et que les clés sont éloignées de la base de données.
@AyeshK - La conformité PCI exige que les informations de paiement soient stockées sur un réseau sécurisé. Une DMZ ne passerait pas un scan PCI même un peu.
-1
kasperd
2014-11-28 03:54:56 UTC
view on stackexchange narkive permalink

Si vous suggérez que le serveur de base de données passe de la même zone de sécurité que le serveur Web à la même zone de sécurité que certains systèmes internes, alors on peut raisonnablement conclure que vous réduisez la sécurité.

Si le statu quo est que le serveur Web et le serveur de base de données sont tous les deux dans la DMZ et qu'aucune connexion n'est autorisée de la DMZ au réseau interne, alors le déplacement du serveur de base de données de la DMZ vers le réseau interne nécessiterait d'autoriser les connexions de la DMZ au réseau interne . Cela signifierait que vous réduisez la sécurité du réseau interne sans obtenir une meilleure protection de la base de données.

Si vous pensez vraiment que la base de données est plus sensible que le réseau interne (ce qui peut très bien être vrai) , alors vous ne voudriez pas qu'un compromis du réseau interne obtienne un accès direct à la base de données.

Donc, le point que vous devez faire est que vous ne voulez pas déplacer le serveur de base de données d'une sécurité zone à une autre, vous voulez plutôt créer une zone de sécurité entièrement nouvelle. Pour vraiment suivre cela, vous devrez en fait acheter un pare-feu supplémentaire et le placer entre la DMZ et le réseau sécurisé supplémentaire.

Ensuite, cela revient à évaluer le coût d'achat et de maintenance de ce pare-feu supplémentaire contre la sécurité supplémentaire qu'il offre.

Merci. Ça a du sens. Connaissez-vous des ressources Web avec des chiffres pour cette configuration? Je ne pense pas qu'ils seraient préoccupés par le coût. Cependant, le travail supplémentaire qu'ils feraient pour le maintenir les empêcherait de bouger. C'est pourquoi leur cerveau ne peut penser qu'au "réseau interne" et à la "DMZ". Ils se disperseraient s'ils pensaient devoir travailler.
@brucebana Je dessinerais simplement les figures sur un tableau blanc ou sur une feuille de papier. Après tous les chiffres devraient prendre votre réseau actuel comme point de départ.
@kasperd En fait, j'essaie d'absorber autant d'informations que possible de cette brillante question qui a été posée. Et votre réponse semble être assez facile à apprendre (pour un «débutant»). Pourriez-vous le dessiner sur papier ou utiliser DIA (http://dia-installer.de/)? Ce serait génial de votre part si vous faisiez ce dessin.
R15
2014-11-27 18:01:25 UTC
view on stackexchange narkive permalink

AvID a déjà couvert la question principale, mais en abordant cette question sous un angle légèrement différent, la plupart des pare-feu prendront en charge plusieurs interfaces et peuvent fournir le contrôle du trafic entre les interfaces.

Configurer les multiples interfaces pour héberger chacune des aspects de la solution (frontend, middleware, backend) réduirait le risque de compromission de la base de données depuis le serveur Web sans nécessiter de multiples pare-feu physiques (si c'est ce qui inquiète les autres équipes ... est-ce un coût question?) et sans introduire une route vers le réseau interne.

Je me demande simplement si cela vous donnerait un «levier» pratique pour soutenir l'argument en faveur de la mise en œuvre d'une séparation, c'est-à-dire que cela apporte quelque chose de différent à la discussion qu'ils à contrer?

À défaut, qu'en est-il d'un scénario hypothétique basé sur une vulnérabilité de serveur Web historique, qui aurait entraîné une compromission ultérieure de tout autre serveur sur le même segment de réseau (y compris la base de données ase) et comment une DMZ en couches empêcherait le compromis ultérieur, vraisemblablement il y aurait un coût monétaire donc il serait `` facile '' d'illustrer le bénéfice coût / effort?

C'est bien que vous ayez également donné des solutions pratiques. Mon sentiment était que s'ils voulaient des solutions pratiques, il serait trivial d'en trouver une, même pour les incompétents - j'espère que ce n'est pas le cas :-)
@AviD Très vrai ... juste essayer de donner à l'OP autant de munitions que possible pour «battre» les incompétents en les soumettant!
Je suis d'accord. Le coût n'est pas vraiment un problème. Le coût du matériel est si faible par rapport aux transactions monétaires qui sont enregistrées dans les DB. Je sens que c'est plus d'être paresseux - je ne veux pas être dérangé par la configuration et l'interaction avec d'autres équipes pour configurer l'infrastructure sécurisée. J'aurais aimé que FUD travaille dessus, mais les tactiques sales ne correspondent pas vraiment à ma personnalité. Je préfère vraiment avoir une manière concrète et très simple d'expliquer les avantages et les inconvénients de cette configuration.
Connaissez-vous une ressource sur la topologie du réseau avec la base de données en dehors de la DMZ et également en dehors du réseau interne? Leur donner le lien pourrait fonctionner ... surtout s'il contient les mots «meilleures pratiques» ou «normes de l'industrie».
@brucebana: Créez une zone supplémentaire (LAN ou VLAN séparé) avec un nouveau sous-réseau IP directement connecté au pare-feu via une nouvelle interface (VLAN à configuration physique ou statique). Il a mis le serveur de base de données. --- C'est une pratique courante. Certaines entreprises ont un très grand nombre de zones séparées (presque une zone par serveur). ------ Bien sûr, cela entraîne des exigences de performances plus élevées sur le pare-feu car le trafic entre l'application et la base de données n'est pas vérifié dans la conception actuelle.
Oui. Je l'ai vu dans de nombreux projets précédents. Cependant, la suggestion ne doit pas venir de nous, développeurs d'applications Web. Ils pensent que nous sommes des idiots et qu'ils sont des experts (en raison de leur mandat dans l'organisation). La solution doit provenir d'une ressource / site Web de sécurité de l'information avec de nombreux avertissements sur les dangers s'ils poursuivent ce qu'ils prévoyaient. Quelque chose de si convaincant qu'il serait difficile de réfuter que ce qu'ils suggèrent EST LE COMPROMIS DE SÉCURITÉ. Ces gens ne répondent qu'à la responsabilité. Ils ne veulent se couvrir le cul que lorsque les choses explosent.
@brucebana: Quelques exemples de matériel en ligne après une recherche rapide: http://www.servicecatalog.dts.ca.gov/services/professional/security/docs/3117_Network_Architecture_Standard.pdf https://www.owasp.org/images/a/a5 /OWASP_miami_Architect%E2%80%99s_View_of_Application_Security-2009_02.ppt http://zeltser.com/multi-firewall/ http://www.ibm.com/developerworks/cloud/library/cl-tsamextensions/ http: // blogs. citrix.com/2013/09/25/cloudplatform-enables-every-workload/
@brucebana "FUD" n'est pas vraiment une tactique sale dans un cas comme celui-ci, si vous me demandez. Le simple fait est que des attaques actives contre les infrastructures connectées à Internet se produisent constamment. *Constamment*. Ne pas mettre en œuvre le type de sécurité dont vous parlez ici est probablement à la limite de la négligence. En fait, en parlant de cet angle, la configuration actuelle sans zones réseau multiples passerait-elle un véritable audit de sécurité indépendant?
Ben
2014-11-27 20:30:03 UTC
view on stackexchange narkive permalink

En supposant que vous essayez de les persuader de le faire plutôt que (nécessairement) de les convaincre que c'est correct:

Expliquez que lorsque leurs grands clients et prospects viendront faire un audit de sécurité, ils le feront échouer.

Si l’obstacle est l’entreprise, ce sera la seule raison suffisante et nécessaire.

Oui, j'essaye de les persuader. Je me fiche de savoir s'ils en ont le mérite ou s'ils pensent avoir eu l'idée - tant que la topologie finale est sécurisée. Les affaires ne sont pas vraiment un obstacle. Les clients n'ont pas vraiment leur mot à dire sur la façon dont l'organisation mène ses activités. Les réponses que j'obtiens ici ont également confirmé mes soupçons. Je pense qu'ils répondraient aux mots «meilleures pratiques» ou «normes de l'industrie» et à d'autres slogans commerciaux.
Craig
2014-11-29 10:29:00 UTC
view on stackexchange narkive permalink

Un bon argument est que la barre n'est vraiment pas si haute pour séparer les serveurs Web et les serveurs de base de données en DMZ séparés.

Utilisez un vrai routeur / pare-feu, et placez les serveurs Web et les serveurs de base de données sur des VLAN séparés, tous deux en dehors du LAN sécurisé interne, avec des règles de pare-feu contrôlant l'accès aux ports minimum requis d'Internet aux serveurs Web, des serveurs Web aux serveurs de base de données, et aucun accès provenant du Web les serveurs au LAN sécurisé.

Le pare-feu empêcherait également tout accès direct depuis Internet aux serveurs de base de données, et contrôlerait étroitement tout accès des serveurs de base de données vers le LAN sécurisé (à des fins d'authentification ou peu importe).

De cette façon, l'attaquant ne peut même pas accéder directement au réseau contenant les serveurs de base de données.

S'ils obtiennent une tête de pont sur l'un de vos serveurs Web, ils ' vous n'êtes toujours pas sur le même réseau avec un accès illimité pour attaquer votre (vos) serveur (s) de base de données, et si vous avez mis en place tout type de surveillance des journaux, vous devriez recevoir des notifications sur la violation des serveurs Web avant que les attaquants n'aient eu beaucoup de temps pour attaquer quoi que ce soit d'autre.

Même s'ils parviennent à violer vos serveurs de base de données après une certaine période de temps sur le seul port ouvert que le serveur Web utilise pour communiquer avec la base de données, ils ont perdu tout ce temps à accomplir relativement peu de temps, pendant lequel vous avez été au courant de leur attaque, au lieu de dépenser tout cela le temps d'entrer dans votre LAN sécurisé.

Ils ne peuvent même pas atteindre le LAN depuis la DMZ où vivent les serveurs Web, donc leur seul chemin vers le LAN sous quelque forme que ce soit est de sauter sur les serveurs de base de données , protégé dans l'autre DMZ. Il y a de fortes chances que vos serveurs de base de données soient ou soient liés à une sorte de système d'authentification d'entreprise (Active Directory ou autre). Voulez-vous cette fonctionnalité dans la même DMZ avec vos serveurs Web publics?

Si je peux être suffisamment préoccupé par les problèmes de sécurité pour créer des sous-réseaux invités et DMZ chez moi chez moi , pour avoir un endroit pour mettre des «choses» («Internet des objets») sans les avoir directement sur mon LAN, une entreprise qui vaut des milliards peut certainement se permettre le partage d'esprit et le temps de faire la même chose avec d'importants serveurs Web et serveurs de bases de données. Je fais cela au bureau avec une combinaison d'une pile de commutateurs L2 / L3 gérés par Procurve de plusieurs milliers de dollars, d'un SonicWall UTM et d'un routeur Ubiquiti EdgeMax. À la maison , j'ai un Ubiquiti EdgeRouter Lite à 100 $, un commutateur HP à 8 ports géré à 100 $ et un point d'accès Ubiquiti Unifi qui prend en charge plusieurs VLAN, et ma configuration est totalement capable de faire ce dont nous parlons .

Et j'ai la tranquillité d'esprit de ne pas m'inquiéter du fait que mon DVR, mon imprimante, mon lecteur BluRay, mon thermostat et tout le reste connectés au réseau exécutent un micrologiciel de buggy obsolète avec qui -connaît-quels exploits non découverts pourraient être piratés et accéder à mon ordinateur et à mes fichiers personnels via le réseau.

Ce n'est pas très difficile pour les experts en sécurité de configurer ce genre de chose, et ce n'est certainement pas le cas 'pas besoin d'impliquer un matériel physique distinct pour chaque pare-feu. Le SDN (réseau défini par logiciel) fait fureur de nos jours, n'est-ce pas?

Même le EdgeRouter Lite à 100 $ peut transmettre près de 1 Gbit / s via le routeur, avec prise en charge de plusieurs interfaces virtuelles et règles de pare-feu entre toutes ces interfaces .

Une petite boîte est en fait un panier plein de pare-feu.

Donc, si vous dépensez de l'argent réel sur un routeur haut de gamme, vous obtiendrez toutes ces fonctionnalités et quelques plus avec des performances de routage plus robustes.

Même quelque chose comme Ubiquiti EdgeRouter Pro 8 vous donne 2 millions de paquets par seconde pour seulement 375 $, avec 8 interfaces physiques et des sous-interfaces VLAN sur chacune d'elles si vous en avez besoin. Si vous avez besoin de performances plus élevées que celles-ci, recherchez Brocade (Vyatta), Cisco, Juniper, etc. Ou quelque chose comme la série SuperMassive de Dell / Sonicwall. Ou exécutez le routeur virtuel Vyatta sur un serveur Xeon multicœur costaud.

Je n'essaye pas de colporter des routeurs, je fais juste remarquer que la barre n'est pas si haute pour obtenir le genre de séparation de sécurité que vous devriez probablement avoir et que vous voulez évidemment ici.

DTK
2014-11-29 18:58:42 UTC
view on stackexchange narkive permalink

Dites à votre responsable direct que vous n'êtes pas autorisé à accepter ce risque au nom de l'entreprise. Faites remarquer que la valeur des données de la base de données est de xxx $ et que ce niveau d'acceptation des risques doit provenir d'une personne autorisée à le faire, et demandez-lui de défendre l'idée qu'un membre de la direction générale approuve l'acceptation des risques.

Pour estimer la valeur des données, déterminez s'il s'agit de données liées à PCI DSS (si tel est le cas, regardez le coût par client que Target / Home Depot a encouru en cas de perte de ventes, de surveillance du crédit, fraude), ou s'il s'agit de PII (si oui, regardez le préjudice financier par patient que les systèmes médicaux ont subi en cas de perte de confiance, de surveillance du vol d'identité, de perte de réputation), ou s'il s'agit de l'avantage concurrentiel de votre entreprise (secrets commerciaux, données financières non encore publiées, propriété intellectuelle) alors la valeur des données pourrait être la valorisation actuelle de l'entreprise.

Si vous recevez un ordre direct d'accepter le risque au nom de la société, il se peut que l'on vous demande de commencer à agir en qualité de dirigeant de la société, et à ce titre, vous avez une obligation (éventuellement obligation légale) de souligner que vous êtes une personne non nommée appelée à agir en tant que telle, et que vous devez en informer la chaîne de gestion auprès du conseil d'administration de la société. Soyez prêt à subir un retour de force important et à dépenser un capital politique important pour le faire savoir.

Bonne chance!



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...