Existe-t-il un moyen sécurisé d'autoriser IIS 7 dans une zone démilitarisée à accéder à un serveur de base de données derrière le pare-feu?

Nos administrateurs réseau sont convaincus qu'il n'est pas sûr pour nos serveurs Web, qui sont hébergés dans la DMZ, d'accéder au serveur DB derrière notre pare-feu. Pour contourner le problème, nous accédons aux données via des services Web ou WCF. Je pense que c'est un fardeau de performance inutile qui pourrait être éliminé si le serveur Web pouvait accéder directement à la base de données.

La raison qui m'a été donnée est qu'un pirate a pu se connecter au serveur Web, il a ensuite pu accéder à la base de données. Est-il possible d'ouvrir les ports uniquement pour IIS ou n'est-il pas possible d'être aussi spécifique? Si nous pouvons le verrouiller uniquement sur IIS, le pirate pourrait-il facilement comprendre cela?

J'ai lu divers articles sur Internet mais je n'arrive pas à trouver une réponse définitive.

Al

J'ai mis en place des plates-formes pour les grandes entreprises et la pratique normale consiste à garantir que vos bases de données se trouvent sur un VLAN différent de vos serveurs Web avec un pare-feu situé entre ces routages de trafic vers le port du serveur de base de données uniquement ainsi qu'un pare-feu devant votre site Web. les serveurs. En règle générale, votre pare-feu avant transfère le port 80 (HTTP) et le port 443 (HTTPS) à vos serveurs Web. Le pare-feu situé entre le serveur Web et le serveur de base de données transmet le trafic des serveurs Web au port utilisé par votre base de données (généralement le port 1433 si vous utilisez Microsoft SQL Server).

Pour une sécurité accrue:

• Assurez-vous d'utiliser un compte le moins privilégié pour accéder aux serveurs de base de données
• Si vous utilisez ASP.NET, vous pouvez crypter votre chaîne de connexion à la base de données dans le web.config
• Embaucher une société tierce pour effectuer un test de pénétration afin de signaler toute vulnérabilité
• Assurez-vous que les mises à jour et les Service Packs sont installés régulièrement.

Si votre base de données est la base de données MI6 ou CIA, vos administrateurs réseau ont probablement raison, mais moi aussi, il semble qu'ils réagissent de manière excessive.

Si la base de données contient des données qui ne peuvent absolument pas être exposées à un réseau public mais que les données dont votre base de données a besoin ne sont pas si sensibles, pourriez-vous envisager de reproduire les tables requises par votre site Web dans une base de données qui se trouve dans votre environnement d'hébergement?

Je leur pose la question:

• Si un pirate informatique accède au serveur Web, pourrait-il appeler vos services Web?
• Si une vulnérabilité est découverte dans IIS qui leur a permis d'accéder à votre serveur Web, alors ils exploitent sûrement la même vulnérabilité sur le serveur Web hébergeant vos services Web?
• Pourraient-ils installer un logiciel qui surveille l'entrée utilisateur pour renifler les mots de passe en mémoire?

Vos serveurs Web peuvent également se trouver derrière un pare-feu, ils ont juste besoin que le port 80 soit transmis au serveur approprié. Tous les autres ports dont votre serveur Web n'a pas besoin doivent être fermés sur ce pare-feu le plus externe. Ensuite, il devrait y avoir un pare-feu entre vos serveurs Web et vos serveurs de données. Dans ce pare-feu, vous autorisez uniquement les ports sur lesquels les bases de données parlent à être ouverts.

Voici un schéma

Internet -> Pare-feu -> Serveurs Web -> Pare-feu -> Bases de données

Pour info, je suis développeur même si je travaille souvent avec notre équipe informatique dans mon entreprise car nous sommes une petite boutique.