- - PR -
DMZ内のAP/DBサーバ連携について
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-23 23:40
こんばんわ、はじめまして。りこと申します。
DMZ内に外部からのユーザがアクセスするためのWEB兼APサーバを設置し、同サーバが必要とするデータを保持するDBサーバも同じくDMZ内に設置しようと考えています。 | |外部 | NW:A NW:B FW----------------------AP===========DB | DMZ |内部 | 上記構成の場合、DMZにDBサーバを設置することとなりますが、これは一般的な構成と言えますでしょうか? 多少機器を経由しても内部ネットワークに設置すべきでしょうか。 よしんば上記構成で問題ないとして、外部からDBサーバへの脅威に対する対策として、APサーバの2枚のNICで別ネットワークとし、APサーバ内でフィルタリングをかけようと考えております。 フィルタリングはSourceIP指定によるDBへのアクセス制御を想定していますが、その他のフィルタリングルールも含め、セキュリティ上の観点から留意すべき点やとるべき対策がありましたらご教示頂けませんでしょうか。 不明な点ばかりかと思いますが、何卒よろしくお願いしますm(_ _)m | ||||||||||||
|
投稿日時: 2006-10-24 08:22
一般的な構成かどうかは自分も良く分からないのですが、前回担当したプロジェクトではDBサーバは内部ネットワークに配置しました。実際はDB内のデータの重要性とかにもよるんだと思います。個人情報等が格納されておらず、検索すればDB内の情報が全て見れる場合とかは特にセキュリティに気を配る必要もないと思いますし。 サーバを設置する施設によっては、内部ネットワークのマシンしかバックアップや監視等を行ってくれないところもあったので、そういう観点から構成を選択することもできるかもしれません。 また、どちらの構成をとるにせよ、OSのセキュリティパッチや、ウイルス定義の更新をする経路が確保されていることも必要条件だと思います。
セキュリティへの配慮をしっかり考えておられるので御存知のことと思いますが、フィルタリングでAPサーバには80番ポート、DBサーバにはAPサーバからのアクセスのみ通すようにしても、アプリケーションに以下のような脆弱性があった場合には、DBのデータが盗まれる可能性があります。
これらに対しては、以下のようにDBを内部においてAPサーバからのアクセスのみ許可する構成にしても、あまり効果がありません。 | |外部 | NW:A FW----------------------AP | DMZ |内部 | DB アプリケーションの脆弱性を0にするのは、なかなか難しいのですが、考慮する必要があると思います。 _________________ sabro ヒマをみつけてWeb開発 | ||||||||||||
|
投稿日時: 2006-10-24 09:09
sabro様
さっそくご返信頂きまして有難うございます。 > 実際はDB内のデータの重要性とかにもよるんだと思います。 DBサーバに格納されるデータは個人情報(メールアドレス)を含みます・・・。 まったく無知なのでおうかがいします。 ・APサーバの別NICで別セグメントを構築し、DBサーバを接続する ※+APサーバでフィルタリングを行う ・内部セグメントにDBサーバを設置する このふたつの構成はセキュリティ上の観点から大きな違いはありますでしょうか。 前者はDMZに設置されており、APサーバを経由しているものの実際はフィルタリングを行いつつ、別セグメントに接続されることなります。 APサーバ内でのフィルタリングなどのセキュリティ対策を具体的にどこまで行うべきかというのは全く想定すらできていなくてお恥ずかしいのですが・・・。 基本的にAPサーバでDBサーバ保護の対策をとったとしても、APサーバに乗り入れてからの攻撃に対する対策をとることは難しいということなのでしょうか。 | ||||||||||||
|
投稿日時: 2006-10-24 09:19
こんにちは。
特におかしな構成ではありませんが、DMZの中をセグメント分割する構成は 一般的ではありません。 sabro様もコメントされていますが、DBサーバは内部に置くケースが一般的です。 理由としては「データの保守性を高めるため」と考えれば納得いかれるのでは? と思われます。 → りこ様の書かれたネットワーク構成図の場合、DBサーバの更新を内部LANから 行うためにルート設定を入れるとDMZ内セグメント分割の意味がないように 思えますね。 | ||||||||||||
|
投稿日時: 2006-10-24 10:05
BackDoor様
ご意見ありがとうございます。 >→ りこ様の書かれたネットワーク構成図の場合、DBサーバの更新を内部LANから > 行うためにルート設定を入れるとDMZ内セグメント分割の意味がないように > 思えますね。 例えば内部LANの保守用端末を特定して、ルールを追加することは筋違いでしょうか(^^" そもそも内部LANからの穴を開けること自体が問題あるということでしょうか?? 重ね重ね申し訳ありません。 | ||||||||||||
|
投稿日時: 2006-10-24 10:36
おはようございます.
大きな違いはないと思います. 結局いずれの場合も「外部から直接通信できる場所に無い」のと, 不正侵入する場合は AP server を陥落させれば「次にいける」という意味では あまり違わないと思うわけです.
難しいです. firewall は基本的に「rule に則って通信を許可/抑制する」わけで, AP server が陥落してしまったらあとでも DB server への接続は 「不正」ではないわけです. 要するに,DB server の設置場所がどこであっても, ある程度「AP server からの接続すら疑う」必要があるのだと思います. その加減や程度が「data の重要性」で測られることもあると思います. 運用上は BackDoor 様の指摘されているように, 端末が通信できる場所で DB server を運用されるのが良いと思います. また,
firewall の rule(内部 LAN -> DMZ への穴)の他に, 内部 LAN -> DMZ(NW:B)への routing も必要になりませんか? その条件がなければ,DMZ(NW:B)はどこにも routing させる必要はないわけで, それはそれで secure ではあると思います. どうしても最初の案にするなら,DMZ(NW:B)に保守用端末を接続するのが良いのでは? ※現実的かどうかはわかりませんが. 以上,ご参考までに. | ||||||||||||
|
投稿日時: 2006-10-24 11:11
kaz様
ご丁寧にありがとうございます。 皆様のご意見からDBサーバは内部LANでの設置が望ましいとあらためて認識することができました。 ただ、実際のところはAPサーバが2台あり、それぞれのAPサーバの2枚目NICからDBサーバへ直接続する想定でおり、DBサーバにおいてチーミングしようと考えていました。 内部LAN内のスイッチポートでDBサーバへの接続空きポートが無いため、(チーミングのため2ポート)なんとかDMZ内に設置できないものかと思案しておりました。 FWも含め経由するNW機器でstaticにルート追記+ACLによる端末制限で構成するのは無理がありますでしょうか。 ここまでするのは強引というか無理やりすぎるかなという思いもありますが・・・。 | ||||||||||||
|
投稿日時: 2006-10-24 12:07
kaz様フォローありがとうございました。
ACLによる端末制限まで入れるのなら、その方法もアリかと思います。 # 保守端末に自身へのアクセスログが記録されるとなお良いですが。 前のコメントでは言葉足らずでしたが、AP server がハッキングされた 場合、DBサーバ以外の内部LANを守るという視点からは
がBESTだと思います。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。