Frage:
Wie erklären Sie Experten, dass sich ein Datenbankserver nicht in der DMZ befinden sollte?
bruce bana
2014-11-27 17:32:16 UTC
view on stackexchange narkive permalink

Unsere Sicherheitsexperten, Datenbankadministratoren, das Netzwerkteam und das Infrastrukturteam sagen, dass es in Ordnung ist, den Datenbankserver zusammen mit dem HTTP-Server und dem Middleware-Server in der DMZ zu haben.

Ihr Grund:

Wenn der Datenbankserver kompromittiert ist (aufgrund einer unsicheren mittleren Schicht), befindet sich zumindest der Datenbankserver außerhalb des internen Systems. Wenn es sich in unserem Netzwerk befindet, kann der Hacker den Datenbankserver verwenden, um auf andere Systeme zuzugreifen.

Sie sagen:

  1. Stellen wir den Middleware-Server nicht hinter eine zweite Firewall und den Datenbankserver hinter eine dritte Firewall.
  2. Verwenden wir nur eine Firewall (die des HTTP-Servers), falls ein Hacker die vertraulichen Daten unserer Datenbank abrufen möchte. Zumindest ist das alles, was sie bekommen können.
    3. ol>

Die zweite Aussage wurde tatsächlich ... wörtlich gesagt.

Bitte beachten Sie, dass dieser Datenbankserver vertraulich ist Informationen, einschließlich Bankdaten.

Sind diese Experten für Sie sinnvoll? Ich bin ein Softwareentwickler und kann ihre Logik nicht verstehen. Es ist wie: "Stellen Sie die Schmuckschatulle vor das Haus, damit sich die Räuber nicht um den Fernseher kümmern?"

Mein Fazit: Diese Leute sind keine Sicherheitsexperten
Es gibt ein ganzes Sicherheitsteam, das dies überprüft hat. Es ist schwer vorstellbar, dass nicht einmal jemand ein Problem sehen könnte - es sei denn, ich interpretiere ihren Standpunkt wirklich nur falsch.
Steht DMZ in dieser Situation für entmilitarisierte Zone? Oder hat es eine andere Bedeutung in Bezug auf DBs und dergleichen?
"DMZ steht für De-Militarized Zone, ein branchenüblicher Begriff aus dem Koreakrieg. Eine DMZ ist ein Server, der durch Firewalls sowohl vom Internet als auch vom Intranet isoliert ist und somit einen Puffer zwischen beiden bildet." von: https://docs.oracle.com/cd/B14099_19/core.1012/b13999/rectop.htm
Sie müssen jedoch keine einzige DMZ haben. Sie können mehrere Vertrauensringe haben.
Haben Sie darüber nachgedacht, dass Sie möglicherweise irgendwann selbst Maßnahmen ergreifen müssen, um die Aufmerksamkeit der Endbenutzer und der Öffentlichkeit auf sich zu ziehen, um sicherzustellen, dass diese Art von "Sicherheit" niemals tatsächlich verwendet wird?
Was würde eine Firewall für Sie tun, wenn der Webserver kompromittiert würde? Sie müssten dem Webserver erlauben, eine Verbindung zur Datenbank herzustellen, und er hätte auch die Anmeldeinformationen, um dies zu tun. Auf alle Daten, auf die der Webserver in der Datenbank zugreifen darf, kann ein Angreifer zugreifen, der den Webserver kompromittiert hat.
Sobrique, ich verstehe nicht, was du mit Vertrauensringen meinst. Ich bin kein Sicherheitsexperte. bitte erkläre? njzk2, es ist wirklich verlockend, aber das würde mich meinen Job verlieren lassen. Und sie könnten jemanden mit einem ähnlichen IQ wie ihren als Ersatz einstellen. Dann wäre das für mich keine verantwortungsvolle Handlung gewesen. :-) kasperd, Ich schlug vor, sowohl die Middleware als auch die Datenbankserver außerhalb der DMZ zu haben und beide sollten ihre eigenen Firewalls haben.
Diese Frage bietet keinerlei Kontext, um die Situation richtig einzuschätzen. Worum geht es in dem neuen System, welche Art von Daten befindet sich in der DMZ, was ist Ihr Bedrohungsmodell? Es gibt viele Faktoren, die berücksichtigt werden müssen, um zu bewerten, ob es sinnvoll ist, DB in die vorhandene gesicherte Zone zu verschieben, oder ob Sie eine neue gesicherte Zone benötigen oder ob es sinnvoll ist, sie außerhalb der DMZ zu platzieren. Ohne Kontext gibt es unten nur uninformierte Antworten, die verallgemeinerte Aussagen machen.
Ich habe die gleiche Frage wie Kasperd oben. Warum ist es wichtig, wie viele Firewalls sich hinter Ihrem Datenbankserver befinden, wenn Ihr Webserver kompromittiert ist? Es ist klar, dass der Webserver a) über die Firewalls Zugriff auf den Datenbankserver haben muss, um Abfragen durchzuführen (auch wenn er Abfragen über die Middleware ausführen muss) und b) diese Anmeldeinformationen auf dem Webserver gespeichert sind. Angenommen, Ihre Datenbank enthält nur Daten, auf die Ihr Webserver zugreifen kann, unabhängig davon, wie viele Firewalls Sie platzieren. Sobald Ihr Webserver kompromittiert ist, haben Sie kein Glück mehr und der Angreifer kann alles aus der Datenbank schlürfen.
Ich bin im Allgemeinen sehr verwirrt darüber, warum Sicherheitsexperten, Datenbankadministratoren, Netzwerkteams und Infrastrukturteams so etwas sagen / fördern würden. Sind dies wirklich wichtige Daten auf diesem Datenbankserver? Gibt es sensible Kundendaten und sind diese Daten außerhalb von localhost erreichbar? Bedeutet das, dass der Webserver im Grunde nur "localhost" -Anrufe tätigt?
@kasperd Dies ist einer von mehreren Gründen, warum ich immer noch ein großer Fan von gespeicherten Prozeduren bin. Sie können den Webserverberechtigungen zum Ausführen einer gespeicherten Prozedur erteilen, ohne ihr Zugriff auf die Basistabellen zu gewähren. Ich bin mir aber auch völlig bewusst, dass die "Norm" heutzutage in vielen Fällen darin besteht, dem Webserver nur den vollen Zugriff auf die Datenbank zu gewähren. Womit ich natürlich nicht einverstanden bin. ;-);
Sie geben Ihren Rücktritt bekannt und fordern, dass alle Ihre persönlichen Daten aus ihren Systemen gelöscht werden ... Sie werden es besser machen.
Erkläre nicht zu viel, wenn sie sie nicht verstehen können / wollen. Warnen Sie sie in schriftlicher Form. Geben Sie ihnen nach jedem Idioten, der Ihnen aufgezwungen wird, eine Warnung. Nachdem Sie genügend Warnungen gesammelt haben, mussten Sie zwei Optionen in Betracht ziehen: 1. Haben Sie eine bessere Arbeitsmöglichkeit? 2. Ist das Unternehmen noch in der Lage, mit Ihnen zusammenzuarbeiten? Jedes Unternehmen (jedes menschliche Kollektiv) hat seine Grenzen, bis es Ihnen ermöglicht, sich zu erheben. Wenn Sie diesen Punkt erreicht haben, können Sie nicht effizienter höher steigen. In vielen Fällen unterschätzen sie dich einfach.
Warum müssen (oder möchten) Sie überhaupt einen Datenbankserver in einer von außen zugänglichen Zone haben? Ein Datenbankserver sollte gespeicherte Prozeduren immer nur von einer begrenzten Anzahl bekannter Hosts (hier den Webservern) ausführen, und er sollte weder von außen sichtbar oder zugänglich sein, noch von "vertrauenswürdigen" Hosts gesteuert werden können sind von außen zugänglich (und möglicherweise kompromittiert), außer durch Ausführen streng überprüfter gespeicherter Prozesse. Außerdem würde ich diese Experten ersetzen, sobald sie sagen, "zumindest bekommen sie nur die Datenbank", um ehrlich zu sein.
Acht antworten:
AviD
2014-11-27 17:40:56 UTC
view on stackexchange narkive permalink

Es ist wie: "Stellen Sie die Schmuckschatulle vor das Haus, damit sich Räuber nicht um den Fernseher kümmern?"

Ja, genau so ist es.

Wenn Sie sich relativ gesehen nicht um den Wert der Datenbank kümmern, ist es sicher sinnvoll, sie draußen zu lassen - wenn die Annahme besteht, dass die Anwendung schrecklich unsicher ist, Sie sie aber stellen müssen Wenn Sie es aus irgendeinem Grund trotzdem nicht sichern möchten, ist dies sinnvoll, um dieses schreckliche unsichere System von allen anderen internen Systemen zu isolieren.

Andererseits gibt es wirklich keine Entschuldigung dafür, eine solche unsichere Anwendung zu erwarten, die eine vollständige Übernahme des Datenbankservers ermöglicht. Es gibt auch keinen wirklichen Grund, "Belichtung" als Alternative zu "Isolation" zu verwenden - es gibt einfache Lösungen, um dies auch richtig zu machen.

Wenn es darauf ankommt, klingt dies wie eine von zwei möglichen Situationen:

  1. Diese sogenannten "Experten" sind wirklich ahnungslos.
  2. Es gibt andere Geschäftsanforderungen, die hier abgewogen werden.
    3. ol>

    Ich denke, Ihre Analogie funktioniert perfekt. Wenn sie Ihnen dann das Äquivalent von "Eigentlich sind diese Schmuckstücke gefälscht, oh und übrigens, der Fernseher ist wirklich ein 60" 5K Custom Job mit Goldfelgen "sagen, dann könnte das ein vernünftiger Kompromiss sein (noch besser, es richtig zu machen ).
    Andernfalls ist es wahrscheinlich nicht möglich, dies zu erklären, da sie aufgrund mangelnden Wissens arbeiten.

Das Problem ist, dass ich Teil des Teams bin, das die Webanwendung entwickelt. Wenn Informationen verloren gehen, ist es recht einfach, auf die Anwendung als Schuldigen hinzuweisen, wenn sich alles in der DMZ befindet. Wir sprechen hier von Milliarden von Dollar ... nicht nur von Kleingeld. Aus meiner Sicht ist es die Nummer 1. Deshalb ist es frustrierend und möchte sie wirklich freundlich erziehen, ohne arrogant zu sein. Wenn Port- und IP-Adressen gefiltert werden, können Sie nur über DB-Aufrufe auf die Datenbank zugreifen. Kann jemand wirklich SQL-Skripte verwenden, um ein Terminal auszuführen und Zugriff auf andere interne Systeme zu erhalten?
Übrigens, um den Kontext zu bestimmen, benötigt das Unternehmen die Zwei-Faktor-Authentifizierung der Webanwendung durch Kennwortauthentifizierung und Token-Key-Generator. So sensibel sind die Daten. Also kratz ich mir wirklich am Kopf.
Hmm ... vielleicht sollten Sie Ihre Analogie anpassen "Lassen Sie die Schmuckschatulle außerhalb des Hauses, damit die Räuber in der Küche kein Chaos anrichten, wenn sie ein Sandwich machen, weil sie während des ganzen Raubes hungrig wurden."
In diesem Fall wäre die bessere Lösung, einen Teller mit Keksen wegzulassen, aber ich denke, an diesem Punkt beginnt die Analogie zusammenzubrechen ...
Niemand weiß wirklich, wie man einsam ist, bis er von Idioten umgeben ist. *Seufzer*
Ich frage mich, ob die starke Authentifizierung ein Faktor in ihrem Denken ist ... um die Analogie noch einen Schritt weiter zu gehen, betrachten sie die starke Authentifizierung vielleicht als einen geschützten Umkreis mit einem Mantrap-Zugangstor (also theoretisch nur Menschen, denen wir nicht vertrauen die Schmuckschatulle mitnehmen kann im Garten). Hält niemanden davon ab, über den Zaun zu springen, wenn die Wachen nicht hinsehen.
Ja. Die Zwei-Faktor-Authentifizierung macht die Webanwendung sehr sicher. Die Hardwarekonfiguration gefährdet jedoch diese Sicherheitsmaßnahme. Habe vorne ein großes Stahltor und Wachen, hinten nur einen Lattenzaun.
DerekM
2014-11-28 01:06:06 UTC
view on stackexchange narkive permalink

SANS '"Machen Sie Ihr Netzwerk sicher für Datenbanken" ( http://www.sans.org/reading-room/whitepapers/application/making-network-safe-databases-24) lautet In einigen Abschnitten etwas veraltet, bietet aber eine anständige Anleitung für "Dummies" in die Richtung, nach der Sie suchen.

Sie könnten sich auch erschöpfen, wenn Sie im Ressourcenzentrum des US NIST stöbern ( http://csrc.nist.gov/). Ich denke, ISO ISO / IEC 27033-2: 2012 wäre ebenfalls ein Thema, habe aber sicher keine Kopie zur Hand.

Sie versuchen, die sensibelsten Server (die Datenbankserver) von den am stärksten gefährdeten (und daher anfälligen) Servern zu trennen / zu isolieren.

Sie schlagen eine "Tiefenverteidigung" vor "Ansatz, der darauf abzielt, a) Angriffe nach Möglichkeit zu verhindern und b) ihren Fortschritt (und den Zugang zu wichtigen Dingen) zu verzögern, wenn dies nicht der Fall ist.

Im Idealfall ist immer alles gehärtet und gepatcht, Server warten nur auf den Datenverkehr an den erforderlichen Ports und nur von zulässigen Geräten aus ist der gesamte Datenverkehr "im Flug" für nicht autorisierte Listener nicht zugänglich (durch Verschlüsselung und / oder Isolation). und alles wird auf Eindringen und Integrität überwacht.

Wenn all das mit 100% iger Sicherheit vorhanden ist, dann hat Ihre "Opposition" Punkt a) oben angesprochen, so viel wie möglich . Toller Start, aber was ist mit Punkt b)?

Wenn ein Webserver kompromittiert wird, befindet sich Ihre vorgeschlagene Architektur an einem viel besseren Ort. Ihr potenzieller Angriffsfußabdruck und Vektor ist viel größer als nötig.

Die Begründung für die Trennung von Datenbank und Webservern unterscheidet sich nicht von der Begründung für die Trennung von Webservern vom LAN. Noch klarer: Wenn sie so überzeugt sind, dass ein kompromittierter Webserver keine Gefahr für andere Systeme in derselben Sicherheitszone darstellt, warum denken sie dann, dass überhaupt eine DMZ erforderlich ist?

Es ist furchtbar frustrierend, in Ihrer Situation zu sein. Zumindest würde ich in Ihrer Position ein Risikomemo erstellen, in dem Ihre Bedenken und Vorschläge dargelegt werden, und sicherstellen, dass sie dies anerkennen. CYA jedenfalls.

Vielen Dank an alle für Ihre Antworten. Ich wünschte, ich könnte alle Antworten akzeptieren, aber diese habe ich direkt verwendet, um die Vor- und Nachteile der Verwendung einer dreistufigen Netzwerksicherheitsarchitektur zu erläutern. Ich konnte eines der jungen Mitglieder des Sicherheitsteams überzeugen, indem ich eine Zusammenfassung aller Ihrer Antworten gab, wobei dies der Hauptpunkt war. Er erklärte schließlich den anderen Teams, warum dies getan werden sollte.
Für weitere Informationen zu diesem Thema in der Zukunft (falls Sie mehr Munition benötigen) lautet der Begriff "N Tiered Architecture". (für Google-Suchanfragen)
Ich habe einen Kommentar zu der Frage gepostet, aber die Realität ist: Was für ein Datenbankserver ist das? Was ist die Anwendung? Was ist das wahre Risiko eines vollständigen Datenkompromisses?
Rory Alsop
2014-11-27 18:16:50 UTC
view on stackexchange narkive permalink

Wenn die Datenbank Kartendetails enthält, kann sehr leicht argumentiert werden, dass Sie die PCI-DSS-Anforderung für einen angemessenen Schutz nicht erfüllen.

Außerdem werden die Überprüfungen der einzelnen Fehlerquellen und der Schutz Ihrer Kernressourcen nicht bestanden.

Wenn die Daten Milliarden wert sind, warum sollten Sie nicht ein paar Tausend mehr für das Hinzufügen ausgeben? Schutzschichten? In der Industrie empfiehlt es sich, mehrschichtige Sicherheitszonen zu haben.

Sie können sie auf PCI, den Good Practice Guide von ISF und viele andere verweisen.

Keine Kreditkartendaten, daher kann ich die PCI-Konformität nicht als Motivationsfaktor verwenden. Vielen Dank für den Hinweis auf ISF. Mir ist das nicht bewusst. Ich verlasse mich nur auf die guten Praktiken meiner Kollegen aus früheren Projekten, die ich hatte, und diese aktuelle Konfiguration lässt meine Alarmglocken nur verrückt werden.
Kennen Sie internationale Vorschriften, nach denen Bankkonten und Zahlungsdetails nicht offengelegt werden müssen?
Wenn Sie keine Kreditkartendaten haben, welche halten Sie? Kontoinformationen? Informationen zum Patientenbesuch? Blaupausen für American Made UFOs? Wenn es so empfindlich ist, sollten Sie vielleicht das Sicherheitsniveau oder ein ähnliches Niveau anstreben, das beispielsweise von elektronischen Patientenakten-Systemen verlangt wird, die für Patienteninformationen verwendet werden. Keine CC-Informationen, aber Sie werden seitwärts geschraubt, wenn Sie DIESE Datenbank verlieren ...
Ich denke nicht, dass das Speichern von CC-Details in der Datenbank ein Problem ist, solange sie verschlüsselt sind und Schlüssel von der Datenbank entfernt sind.
@AyeshK - Für die PCI-Konformität müssen Zahlungsinformationen in einem gesicherten Netzwerk gespeichert werden. Eine DMZ würde einen PCI-Scan nicht einmal ein wenig bestehen.
@Logarr Entschuldigung, ich habe keine DMZ gemeint. Im Allgemeinen ist es nicht sofort unsicher, Kartendaten in einer Datenbank zu speichern, vorausgesetzt, die Datenbank selbst ist gesichert und die Daten sind verschlüsselt.
kasperd
2014-11-28 03:54:56 UTC
view on stackexchange narkive permalink

Wenn Sie vorschlagen, dass der Datenbankserver von derselben Sicherheitszone wie der Webserver in dieselbe Sicherheitszone wie einige interne Systeme verschoben wird, kann man vernünftigerweise den Schluss ziehen, dass Sie die Sicherheit verringern.

Wenn der Status Quo lautet, dass sich sowohl der Webserver als auch der Datenbankserver in der DMZ befinden und keine Verbindungen von der DMZ zum internen Netzwerk zulässig sind, müssen für das Verschieben des Datenbankservers von der DMZ zum internen Netzwerk Verbindungen von der DMZ zum internen Netzwerk zugelassen werden . Dies würde bedeuten, dass Sie die Sicherheit des internen Netzwerks verringern, ohne einen wesentlich besseren Schutz für die Datenbank zu erhalten.

Wenn Sie wirklich glauben, dass die Datenbank sensibler ist als das interne Netzwerk (was durchaus zutreffen kann) Dann möchten Sie keine Kompromisse im internen Netzwerk eingehen, um direkten Zugriff auf die Datenbank zu erhalten.

Sie müssen also darauf hinweisen, dass Sie den Datenbankserver nicht von einer Sicherheit verschieben möchten Zone zu einer anderen, stattdessen möchten Sie eine völlig neue Sicherheitszone erstellen. Um dies wirklich umzusetzen, müssten Sie tatsächlich eine zusätzliche Firewall kaufen und diese zwischen die DMZ und das extra gesicherte Netzwerk stellen.

Dann läuft es darauf hinaus, die Kosten für den Kauf und die Wartung dieser zusätzlichen Firewall zu bewerten die zusätzliche Sicherheit, die es bietet.

Vielen Dank. Das macht Sinn. Kennen Sie Webressourcen mit Zahlen für dieses Setup? Ich glaube nicht, dass sie sich Sorgen um die Kosten machen würden. Die zusätzliche Arbeit, die sie zur Wartung leisten würden, würde sie jedoch daran hindern, sich zu bewegen. Deshalb kann ihr Gehirn nur an "internes Netzwerk" und "DMZ" denken. Sie würden sich zerstreuen, wenn sie denken, dass sie arbeiten müssen.
@brucebana Ich würde die Figuren einfach auf ein Whiteboard oder ein Stück Papier zeichnen. Immerhin müssten die Zahlen Ihr aktuelles Netzwerk als Ausgangspunkt nehmen.
@kasperd Ich versuche tatsächlich, so viele Informationen wie möglich aus dieser brillanten Frage aufzunehmen, die gestellt wurde. Und Ihre Antwort scheint leicht zu lernen zu sein (für den Anfang). Würde es Ihnen etwas ausmachen, es auf Papier oder mit DIA (http://dia-installer.de/) zu zeichnen? Das wäre großartig von dir, wenn du diese Zeichnung machen würdest.
R15
2014-11-27 18:01:25 UTC
view on stackexchange narkive permalink

AvID hat die Hauptfrage bereits behandelt, aber wenn Sie dies aus einem etwas anderen Blickwinkel betrachten, unterstützen die meisten Firewalls mehrere Schnittstellen und können die Steuerung des Datenverkehrs zwischen den Schnittstellen ermöglichen.

Konfigurieren der mehreren Schnittstellen zum Hosten der einzelnen Schnittstellen Die Aspekte der Lösung (Frontend, Middleware, Backend) würden das Risiko einer weiteren Gefährdung der Datenbank durch den Webserver verringern, ohne dass mehrere physische Firewalls erforderlich wären (wenn die anderen Teams sich darüber Sorgen machen ... sind dies Kosten? Problem?) und ohne eine Route zum internen Netzwerk einzuführen.

Ich frage mich nur, ob dies Ihnen einen praktischen „Hebel“ geben würde, um das Argument für die Implementierung einer Trennung zu unterstützen, dh es bringt etwas anderes in die Diskussion, dass sie Müssen Sie dagegen vorgehen?

Wenn dies nicht der Fall ist, was ist mit einem Was-wäre-wenn-Szenario, das auf einer historischen Sicherheitsanfälligkeit auf einem Webserver basiert und zu einer weiteren Gefährdung aller anderen Server im selben Netzwerksegment (einschließlich der Datenbank) geführt hätte ase) und wie eine geschichtete DMZ den weiteren Kompromiss verhindern würde, vermutlich würde es monetäre Kosten geben, so dass es „einfach“ wäre, den Kosten-Aufwand-Nutzen zu veranschaulichen?

Gut, dass Sie auch praktische Lösungen gegeben haben. Mein Gefühl war, wenn sie praktische Lösungen wollten, wäre es trivial, eine zu finden, selbst für Inkompetente - ich hoffe, das ist nicht der Fall :-)
@AviD Sehr wahr ... ich versuche nur, dem OP so viel Munition wie möglich zu geben, um die Inkompetenten zu unterwerfen!
Genau. Die Kosten sind nicht wirklich ein Problem. Die Hardwarekosten sind im Vergleich zu den in den DBs gespeicherten Geldtransaktionen so gering. Ich spüre, dass es eher faul ist - ich möchte mich nicht mit der Konfiguration und Interaktion mit anderen Teams beschäftigen, um die sichere Infrastruktur einzurichten. Ich wünschte, FUD würde daran arbeiten, aber schmutzige Taktiken passen nicht wirklich zu meiner Persönlichkeit. Ich bevorzuge es wirklich, die Vor- und Nachteile dieser Konfiguration konkret und sehr einfach zu erklären.
Kennen Sie eine Ressource zur Netzwerktopologie mit der Datenbank außerhalb der DMZ und auch außerhalb des internen Netzwerks? Wenn Sie ihnen den Link geben, funktioniert dies möglicherweise ... insbesondere, wenn die Wörter "Best Practice" oder "Industriestandards" verwendet werden.
@brucebana: Erstellen Sie eine zusätzliche Zone (separates LAN oder VLAN) mit einem neuen IP-Subnetz, das über eine neue Schnittstelle (entweder physisches oder statisch konfiguriertes VLAN) direkt mit der Firewall verbunden ist. Dort legte der Datenbankserver. --- Dies ist eine gängige Praxis. Einige Unternehmen haben eine sehr große Anzahl getrennter Zonen (fast eine Zone pro Server). ------ Dies stellt natürlich höhere Leistungsanforderungen an die Firewall, da der Datenverkehr zwischen der Anwendung und der Datenbank im aktuellen Design nicht überprüft wird.
Ja. Ich habe es in vielen früheren Projekten gesehen, die ich hatte. Der Vorschlag sollte jedoch nicht von uns Webanwendungsentwicklern stammen. Sie denken, wir sind Idioten und sie sind Experten (aufgrund ihrer Amtszeit in der Organisation). Die Lösung sollte von einer Informationssicherheitsressource / -website mit vielen Warnungen vor den Gefahren stammen, wenn sie das verfolgen, was sie geplant hatten. Etwas so Überzeugendes, dass es schwer zu widerlegen ist, dass das, was sie vorschlagen, DER SICHERHEITSKOMPROMISS ist. Diese Personen reagieren nur auf Verantwortlichkeit. Sie wollen ihre Ärsche nur bedecken, wenn die Dinge explodieren.
@brucebana: Einige Beispiele für Online-Materialien nach der Schnellsuche: http://www.servicecatalog.dts.ca.gov/services/professional/security/docs/3117_Network_Architecture_Standard.pdf https://www.owasp.org/images/a/a5 /OWASP_miami_Architect%E2%80%99s_View_of_Application_Security-2009_02.ppt http://zeltser.com/multi-firewall/ http://www.ibm.com/developerworks/cloud/library/cl-tsamextensions/ http: // Blogs. citrix.com/2013/09/25/cloudplatform-enables-every-workload/
@brucebana "FUD" ist in einem solchen Fall keine wirklich schmutzige Taktik, wenn Sie mich fragen. Die einfache Tatsache ist, dass ständig aktive Angriffe auf die mit dem Internet verbundene Infrastruktur stattfinden. *Ständig*. Die Art der Sicherheit, von der Sie hier sprechen, nicht zu implementieren, ist wahrscheinlich fahrlässig. Würde die aktuelle Konfiguration ohne mehrere Netzwerkzonen tatsächlich ein echtes unabhängiges Sicherheitsaudit bestehen?
Ben
2014-11-27 20:30:03 UTC
view on stackexchange narkive permalink

Angenommen, Sie versuchen, sie davon zu überzeugen, anstatt sie (notwendigerweise) davon zu überzeugen, dass es richtig ist:

Erklären Sie, dass ihre großen Kunden und potenziellen Kunden eine Sicherheitsüberprüfung durchführen werden scheitern.

Wenn das Hindernis das Geschäft ist, ist dies der einzig ausreichende und nur notwendige Grund.

Ja, ich versuche sie zu überzeugen. Es ist mir egal, ob sie den Kredit aufnehmen oder ob sie glauben, auf die Idee gekommen zu sein - solange die endgültige Topologie sicher ist. Das Geschäft ist nicht wirklich das Hindernis. Kunden haben nicht wirklich ein Mitspracherecht bei der Geschäftstätigkeit des Unternehmens. Die Antworten, die ich hier bekomme, bestätigten auch meinen Verdacht. Ich denke, sie würden auf die Worte "Best Practice" oder "Industriestandards" und andere geschäftlich klingende Schlagworte reagieren.
Craig
2014-11-29 10:29:00 UTC
view on stackexchange narkive permalink

Ein gutes Argument ist, dass die Messlatte für die Trennung von Webservern und Datenbankservern in separate DMZs wirklich nicht so hoch ist.

Verwenden Sie einen echten Router / eine echte Firewall und setzen Sie die Webserver und Datenbankserver ein in separaten VLANs, beide außerhalb des internen sicheren LAN, mit Firewall-Regeln, die den Zugriff auf die minimal erforderlichen Ports vom Internet zu den Webservern, von den Webservern zu den Datenbankservern und überhaupt keinen Zugriff aus dem Web steuern Server auf das sichere LAN.

Die Firewall würde auch jeglichen direkten Zugriff aus dem Internet auf die Datenbankserver verhindern und den Zugriff von den Datenbankservern nach innen auf das sichere LAN streng kontrollieren (zu Authentifizierungszwecken oder was auch immer).

Auf diese Weise kann der Angreifer nicht einmal direkt in das Netzwerk mit den Datenbankservern gelangen.

Wenn er auf einem Ihrer Webserver einen Brückenkopf bekommt, wird er Sie befinden sich immer noch nicht im selben Netzwerk mit uneingeschränktem Zugriff, um Ihre Datenbankserver anzugreifen, und wenn Wenn Sie über eine Protokollüberwachung verfügen, sollten Sie Benachrichtigungen über die Verletzung der Webserver erhalten, bevor die Angreifer viel Zeit hatten, um etwas anderes anzugreifen.

Selbst wenn sie es dann schaffen, Ihre Datenbankserver danach zu verletzen Einige Zeit über den einen offenen Port, über den der Webserver mit der Datenbank kommunizieren kann, haben sie die ganze Zeit damit verschwendet, relativ wenig zu erreichen. Während dieser Zeit waren Sie sich ihres Angriffs bewusst, anstatt all das auszugeben Zeit, um in Ihr sicheres LAN zu gelangen.

Sie können das LAN nicht einmal von der DMZ aus erreichen, in der sich die Webserver befinden. Daher besteht ihr einziger Weg in das LAN in irgendeiner Form darin, auf die Datenbankserver zu springen , geschützt in der anderen DMZ. Möglicherweise sind oder werden Ihre Datenbankserver an eine Art Unternehmensauthentifizierungssystem (Active Directory oder was auch immer) gebunden. Möchten Sie diese Funktion in derselben DMZ wie Ihre öffentlichen Webserver?

Wenn ich mir genug Sorgen um Sicherheitsprobleme machen kann, um Gast- und DMZ-Subnetze in meinem Zuhause zu erstellen, um einen Ort zu haben, an dem "Dinge" ("Internet der Dinge") abgelegt werden können, ohne sie direkt zu haben In meinem LAN kann sich ein milliardenschweres Unternehmen mit Sicherheit den Mindshare und die Zeit leisten, um dasselbe mit wichtigen Webservern und Datenbankservern zu tun. Ich mache das im Büro mit einer Kombination aus einem Stapel von Procurve-verwalteten L2 / L3-Switches für mehrere tausend Dollar, einem SonicWall UTM und einem Ubiquiti EdgeMax-Router. Zu zu Hause habe ich einen Ubiquiti EdgeRouter Lite für 100 US-Dollar, einen verwalteten 8-Port-HP-Switch für 100 US-Dollar und einen Ubiquiti Unifi-AP, der mehrere VLANs unterstützt, und mein Setup ist absolut in der Lage, das zu tun, worüber wir sprechen

Und ich kann mir keine Sorgen machen, dass mein netzwerkverbundener DVR, Drucker, Blu-Ray-Player, Thermostat und was auch immer mit wem die wer-weiß-was-Buggy-Firmware läuft - weiß, welche unentdeckten Exploits gehackt werden und über das Netzwerk auf meinen Computer und meine persönlichen Dateien zugreifen können.

Für Sicherheitsexperten ist es nicht besonders schwierig, solche Dinge zu konfigurieren, und das ist sicherlich nicht der Fall Es muss keine separate physische Hardware für jede Firewall erforderlich sein. SDN (Software Defined Networking) ist heutzutage der letzte Schrei, oder?

Selbst der EdgeRouter Lite für 100 US-Dollar kann fast 1 Gbit / s über den Router weiterleiten und unterstützt mehrere virtuelle Schnittstellen und Firewall-Regeln zwischen all diesen Schnittstellen

Eine winzige Box ist wirklich ein ganzer Korb voller Firewalls.

Wenn Sie also echtes Geld für einen High-End-Router ausgeben, erhalten Sie all diese Funktionen und einige mehr mit einer besseren Routing-Leistung.

Selbst so etwas wie der Ubiquiti EdgeRouter Pro 8 bietet Ihnen 2 Millionen Pakete pro Sekunde für nur 375 US-Dollar mit 8 physischen Schnittstellen und VLAN-Subschnittstellen auf jeder dieser Schnittstellen, falls erforderlich. Wenn Sie eine höhere Leistung benötigen, wenden Sie sich an Brocade (Vyatta), Cisco, Juniper usw., um größere Hardware zu erhalten. Oder so etwas wie die SuperMassive-Serie von Dell / Sonicwall. Oder führen Sie den virtuellen Vyatta-Router auf einem leistungsstarken Multi-Core-Xeon-Server aus.

Ich versuche nicht, Router zu verkaufen, sondern nur darauf hinzuweisen, dass die Messlatte nicht so hoch ist, um diese Art von Router zu erhalten Sicherheitstrennung, die Sie wahrscheinlich hier haben sollten und offensichtlich wollen.

DTK
2014-11-29 18:58:42 UTC
view on stackexchange narkive permalink

Teilen Sie Ihrem direkten Vorgesetzten mit, dass Sie nicht berechtigt sind, dieses Risiko im Namen des Unternehmens zu übernehmen. Weisen Sie darauf hin, dass der Wert der Daten in der Datenbank $ xxx beträgt und dass dieser Grad der Risikoakzeptanz von jemandem stammen muss, der dazu berechtigt ist, und bitten Sie ihn, sich dafür einzusetzen, dass ein Mitglied der Geschäftsleitung die Risikoakzeptanz unterzeichnet.

Um den Wert der Daten zu schätzen, bestimmen Sie, ob es sich um Daten handelt, die an PCI DSS gebunden sind (wenn ja, sehen Sie sich die Kosten pro Kunde an, die Target / Home Depot bei Umsatzverlusten, Kreditüberwachung und Betrug) oder wenn es sich um personenbezogene Daten handelt (wenn ja, prüfen Sie den finanziellen Schaden pro Patient, den die medizinischen Systeme durch Vertrauensverlust, Überwachung von Identitätsdiebstahl und Reputationsverlust erlitten haben) oder wenn es sich um einen Wettbewerbsvorteil Ihres Unternehmens handelt (Geschäftsgeheimnisse, noch nicht freigegebene Finanzdaten, geistiges Eigentum), dann könnte der Wert der Daten die aktuelle Bewertung des Unternehmens sein.

Wenn Sie den direkten Auftrag erhalten, das Risiko im Namen des Unternehmens zu übernehmen, werden Sie möglicherweise gebeten, als leitender Angestellter des Unternehmens zu handeln, und als solcher haben Sie eine Verpflichtung (möglicherweise a rechtliche Verpflichtung) darauf hinzuweisen, dass Sie eine nicht ernannte Person sind, die gebeten wird, als eine Person aufzutreten, und dies die Verwaltungskette dem Verwaltungsrat des Unternehmens mitzuteilen. Seien Sie auf einen erheblichen Rückschlag vorbereitet und geben Sie erhebliches politisches Kapital aus, um dies bekannt zu machen.

Viel Glück!



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...