1

ファイルを読み書きするためにネットワーク共有へのアクセスを必要とする RESTful Web サービスを開発しました。これは、スタッフが割り当てられたユーザー名とパスワードを使用してログオンする必要がある、公開 Web サービス (SSL 経由で実行) です。

この Web サービスは DMZ で実行されます。DMZ からネットワーク共有にアクセスするのは「正しく」ないようです。これを行うための「安全な」方法は、Web サービスとのみ通信する別のサービスをドメイン内に提供することではないかと思います。そうすれば、誰かがそれを悪用したい場合、既知のシステム API ではなく、Web サービスを介して実行する方法を見つける必要があります。

私の解決策は「正しい」ですか?より良い方法はありますか?

ノート:

  • Web サービスはIIS では実行されません。
  • Web サービスは現在、ネットワーク共有へのアクセス権と SQL データベースへのアクセス権を持つアカウントで実行されています。
  • Web サービスは、一般向けではなく、指定されたスタッフのみを対象としています。
  • 私は開発者であり、IT プロフェッショナルではありません。
4

1 に答える 1

0

内部リソースを使用するためのある種の VPN はどうですか? これにはかなりの解決策がいくつかありますが、ネットワーク共有をインターネットに公開するのはリスクが大きすぎるようです。

それはさておき、攻撃者がこれらの Web サービスを使用して DMZ ホストに侵入した場合、2 つの完全に異なるソリューションを作成する余裕がない限り、同じ API を使用して内部サーバーに侵入することができます。

DMZ からファイルサーバーに直接アクセスする場合、ファイアウォールを使用してこれらの接続を制限するため、DMZ ホストを壊した後でも、攻撃者はそれらのサーバーに対して「すべて」を実行できず、読み取り (書き込み?) のみを行うことができます。

#2をお勧めします

于 2013-10-30T13:24:49.577 に答える