665 messaggi dal 08 aprile 2009
Consiglio se questa architettura è un sistema sicuro:
Situazione di un gestionale con data base sql server nella rete locale.
Il getsionale tratta contabilità, magazzino, produzione, crm...
La casa madre ha sviluppato l'applicazione web per poter gestire determinate procedure anche dall'esterno.
L'architettura da impostare è avere un server dmz sul quale è pubblicata l'applicazione web e che quindi è al di fuori della rete locale con regole da impostare nel firewall.
Fino a qui tutto ok ma quello che non mi torna è che nell'applicazione web c'è direttamente la stringa di connessione che punta al database completo del gestionale.
Chiedo a chi è più esperto se quindi questa potrebbe essere una falla nel sistema di sicurezza o è una pratica normale.
Io mi sarei di più aspettata un servizio che esponeva solo i dati che possono essere visti dall'esterno.
10.812 messaggi dal 09 febbraio 2002
Contributi
Ciao,


Io mi sarei di più aspettata un servizio che esponeva solo i dati che possono essere visti dall'esterno.

Sì, sono dello stesso parere anche io. Sarebbe meglio seguire il principio del privilegio minimo ed esporre i dati attraverso un webservice che ti regola l'accesso in base alle credenziali dell'utente e in base a cosa è possibile fare da web. Cerca di esporre delle operazioni anziché delle CRUD.

Poi, a livello sistemistico, assicurati che tra il webserver e il resto delle vostre applicazioni (o il webserver stesso) ci sia un bastione, in modo che il webserver possa accedere solo a quell'unico webservice di cui ha bisogno per funzionare. Fate auditing periodico e tieni in considerazione i costi di queste attività sistemistiche quando rivaluterete il cloud.

Al momento, la situazione risulta un po' "incompleta" dal punto di vista della sicurezza perché sì, avete avuto cura nel mettere il server in una DMZ per evitare che un attaccante possa risalire ai PC della vostra LAN, ma dovete anche proteggere al meglio il DB che forse è un asset di un valore ancora maggiore (per non parlare delle grane legali che ne deriverebbero in caso di furto di dati).

ciao,
Moreno
Modificato da BrightSoul il 07 agosto 2016 12.32 -

Enjoy learning and just keep making
665 messaggi dal 08 aprile 2009
Ciao Moreno,
grazie per la risposta...il dubbio era fondato...
Giro la questione anche alla casa madre.

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.