Топовые новости
Случайное

Системы находящиеся в зоне хранения информации

Системы находящиеся в зоне хранения информацииСистемы, находящиеся в зоне хранения информации, содержат данные, необходимые для работы приложений электронной коммерции: прайс-листы, базы данных о товарах, покупках и заказах и т. п. Web-серверы, расположенные в DMZ и имеющие общедоступный Internet-интерфейс, при обработке запросов пользователей обращаются за данными к системам хранения информации.

Базы данных, содержащие деловую информацию, обычно экранируются не только от Internet-трафика, но и от большинства соединений из защищенной сети. Это ограждает «чувствительные» данные как от непреднамеренных изменений, так и от внутренних атак. Если информация, например о произведенном заказе, записывается в базу данных сегмента хранения, то ее финансовая составляющая автоматически перенаправляется системам процессингового сегмента (центра). Здесь производятся электронные платежи, результаты которых, опять же, записываются в соответствующую базу данных, на основе чего системой генерируются отчеты и оперативные сводки, поступающие в защищенную сеть компании. Сегмент обработки финансовых транзакций защищен от Internet и от прочих сегментов межсетевым экраном. Кроме того, настройки этого экрана обычно определяют специально авторизированных пользователей корпоративной сети, имеющих доступ к центру процессинга.

Контроль доступа также позволяет регулировать методы образования сеансов связи. К примеру, если финансовый сегмент обрабатывает информацию для последующей ретрансляции в банковскую систему, наиболее значимые транзакционные данные могут быть сохранены специалистами из защищенной сети для мониторинга в автономном режиме. С этой целью межсетевое экранирование должно разрешать только соединения, инициируемые из защищенной сети. При этом для злоумышленника исчезает возможность проникновения в защищенную сеть из скомпрометированного финансового сегмента. Однако иногда необходим мониторинг в режиме реального времени, при котором финансовые системы сами инициируют соединения с машинами из защищенной сети. Это удобно с точки зрения бизнеса, но небезопасно. Хакер может использовать такие каналы связи для проникновения в защищенную сеть. При построении DMZ всегда необходимо помнить об этом и аналогичных ему сценариях.

Популярные записи

Copyright © 2015. All Rights Reserved.