我目前的(假想)设置有一个DMZ两个服务器和一个内部networking两个更多的服务器
DMZ-Web服务器(公司网站),代理服务器
内部networking中的服务器 – 消息(Exchange)和身份validation和域服务(AD)
现在我只有一个SAN设置,我应该在这两个networking之间共享。
是否将SAN连接到DMZ中的两台服务器,以及networking安全上下文中的内部networking是否正常?
最佳做法是什么?
由于SAN是一个独立的基础架构,只要将不同的LUN分隔到不同的位置,这应该不是一个可怕的问题。
但是,通常情况下,SAN是组织中所有敏感数据的占位符,最好尽可能保持安全,最好由内部防火墙保护的服务器访问
你没有提到你想要什么types的SAN,当然,在两个不同的安全区域的系统之间使用FC连接的SAN会更快乐,因为入侵者必须破解你的Web服务器的IP方面,然后攻击一个FCarrays – 两个完全不同的技能/协议等 – 来获取内部数据。 另外FCnetworking倾向于基于有效的点对点连接,而不像“常规”IPnetworking,在这种情况下,所有东西都是开放的,除非受到约束。 相反,如果你可以破解一个networking服务器,那么你可能有技巧去探索iSCSI,即使它是在一个专用的子网上。