今だけ人気マンガ100円レンタル特集♪

インターネットに公開しているWebシステムのDBサーバを内部ネットワークに置くのがよいのか、
DMZに置くのがよいのかで悩んでいます。

※ここでいうDBサーバは、個人情報を取り扱っていますが、外部に公開していない別の
システム等が使用しているデータは居候していません。

以前の私の認識では、WebサーバをDMZに置き、DBサーバは内部ネットワークに置いて、
DBサーバへの接続はWebサーバからのみに限定するというのが一般的なのではないかと
思っているのですが、今も同じでしょうか?

内部ネットワークにDBを置いた場合、次の問題が考えられるので、本当に大丈夫なのかと
思ってしまいます。。

- DMZから内部ネットワークへの通信が許可しなければならないこと。
- WebサーバとDBサーバの接続をFWで遮断したとしても、WebサーバからDBサーバに
接続するためには、あらかじめWebサーバの設定ファイルにDBサーバのユーザ名とパスワード
を書いておく必要があります。なので、、WebサーバとDBサーバ間のFWがあまり役に立たないのではないか。(Webサーバが乗っ取られた時点で、苦労なく個人情報も抜かれるリスク大)
そればかりか、DBサーバを内部に置くことで、DBサーバをDMZに置いた時よりも内部
ネットワークが脆弱になると考えられる。(DMZから内部ネットワークへの通信を許可する必要あり)
- 総合すると、最近の Linux や Windows にはFW機能があるので、何も内部ネットワークに
置かなくても、その機能を有効化しサーバ自体はDMZに置けば内部ネットワークに置くよりも
全然よいのではないかと思える。

よろしくお願いいたします。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

>こちらで決められるのは、WebサーバとDBサーバを


>どこのセグメントに置くかのみなんです。

そういうことなら選択肢はDMZしかないと思いますけど。
DBサーバーを内部ネットワークに配置してDMZからの通信を許可するとかDMZの意味がないですし。

#1の方の案を提案してみるだけしてみるのが一番だと思いますが。
    • good
    • 1
この回答へのお礼

いろいろとご提案いただきありがとうございました。

お礼日時:2013/03/23 16:11

DMZと内部ネットワークの2択という事なら、DBサーバと内部ネットワーク内の機器のどちらのセキュリティを重視するかによって決まると思いますが、一般的には内部ネットワークに置くのが無難かと思います。



理由としては↓のようなことが挙げられます。

a. DBサーバの重要性が高いケースが多い。
b. 内部ネットワークに置いたとしても、他の機器の危険性はあまり上がらない。


以下、bの理由です。

DMZ ⇔ 内部ネットワーク で許可する通信はのは下記のみですよね?

1. 発信元がWebサーバのIPアドレスであて先がDBサーバのIPアドレスでDBのポート。
2. 1へのレスポンス。

仮にWebサーバが乗っ取られたとしても、DBサーバで動いているDBMSの1ユーザとしてDBが使えるようになるだけでしょう。DBMSにセキュリティーホールでもあれば別ですが。
DBMSにログイン出来たからといって、内部ネットワーク内の他の機器にアクセスするのは難しいと思われます。DBのデータは見られたり書換えられたりする可能性が有りますが。


> Webサーバの設定ファイルにDBサーバのユーザ名とパスワードを書いておく必要があります。

DBMSのID/PWの事ですよね?これはDBサーバどこにあっても同じでは?
DB以外のセキュリティーには関係無いと思われます。
DBサーバのOSのユーザ・パスワードであれば話は別ですが。
    • good
    • 0
この回答へのお礼

ご回答ありがとうございました。

仮にDBサーバを内部ネットワークに置いたとしても、
一番肝心なDBサーバ内のデータは守れないということですよね。

DBサーバ内にWebサーバからアクセスできるデータ以外に
重要なものがないなら、わざわざDBサーバを内部ネットワークに
置く意味がないように感じました。

お礼日時:2013/03/23 16:08

#2です。



>#1の方の案を提案してみるだけしてみるのが一番だと思いますが。

ちょっと訂正して。
DMZに配置するのはWebサーバだけにして
WebサーバとDBサーバで別にネットワークを構築する
というのはどうでしょうか。
WebサーバにはDMZにつなぐ分と、DBサーバにつなぐ分の2つのNICが必要にはなりますけど。
    • good
    • 1

内部ネットワークのセキュリティが心配なら、DBサーバ専用のセグメントを設けて、FWでDMZのWebサーバからのアクセスだけ許可すればよいのでは?



例)--------------------------------------

インターネット
|
|
   / --- DMZ
FW
   \ --- DBサーバ用セグメント
|
|
内部ネットワーク

この回答への補足

前提条件の説明が不十分でした。
ネットワーク自体は別の所が管理しているため、
現在の構成(下記)を変更することができません。

こちらで決められるのは、WebサーバとDBサーバを
どこのセグメントに置くかのみなんです。

インターネット
|
|

FW ---- DMZ
 
|
|
内部ネットワーク

補足日時:2013/03/23 08:07
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QDMZでのDBサーバの配置

webサーバ(webサーバ1台、DBサーバ1台構成)をDMZに設置して外部からアクセスさせる場合、
通常DBサーバはDMZに置かずにLAN側に配置するべきなのでしょうか?

Aベストアンサー

DMZに置かなければならない理由が特にない限り、普通はそうしますね。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング