データセンターのサーバーでホストされるクライアント ソリューションを構築しています。これは、クライアント ソリューションの提供に関連するすべてのサーバーで構成されています。保護する内部ネットワークはありませんが、何らかの理由で、UAT 環境にはサーバー図に DMZ の概念があります。
パブリック IP を持つ IIS ボックスがあります。次に、パブリック IP のない内部 LAN 上にのみある 2 つのサーバー DB (Sql サーバー) と APP があります。これらのサーバーには、VPN 経由でのみ RDP を実行できます。IISサーバーにはSQLアクセスが必要なため、ポート1433がIISボックス(DMZ)からSQLサーバーに開かれています。また、IIS サーバーから、WCF サービスをホストする APP サーバーへのポートをいくつか開いています。
私の理解では、DMZ は内部のプライベート ネットワークを保護するためのものであり、これらのネットワークは DMZ からアクセスできませんが、DMZ からアクセスできるように、APP サーバーと DB サーバーの両方にポートを開いています。最終的に、ほとんどのサーバーは特定のポートを介して IIS サーバーからアクセスできます。
当初は SQL サーバーを AD 認証のみにセットアップしたかったのですが、IIS サーバーが DMZ 内にあり、AD アクセスがないため、SQL サーバーで混合モード認証を有効にする必要があります。SQL サーバーに対して認証できるようにするために、IIS サーバーのどこかにパスワードを保存する必要があるため、これは別のセキュリティ上の問題である可能性があります。
DMZ の概念を見逃していませんか?