- ベストアンサー
DBサーバをどこに置くのがよいか
- WebシステムのDBサーバの配置場所について悩んでいます。内部ネットワークに置くのか、DMZに置くのかを考えています。
- 以前は一般的にWebサーバをDMZに置き、DBサーバは内部ネットワークに置く方法が一般的でしたが、最近はサーバ自体にFW機能があり、DMZに置く方が安全性が高いという意見もあります。
- 内部ネットワークにDBを置く場合には通信許可や設定ファイルの管理などの問題が発生する可能性があります。そのため、最新のセキュリティ機能を備えたサーバを使用し、DMZにDBサーバを置くことが一つの解決策と言えます。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
>こちらで決められるのは、WebサーバとDBサーバを >どこのセグメントに置くかのみなんです。 そういうことなら選択肢はDMZしかないと思いますけど。 DBサーバーを内部ネットワークに配置してDMZからの通信を許可するとかDMZの意味がないですし。 #1の方の案を提案してみるだけしてみるのが一番だと思いますが。
その他の回答 (3)
- root139
- ベストアンサー率60% (488/809)
DMZと内部ネットワークの2択という事なら、DBサーバと内部ネットワーク内の機器のどちらのセキュリティを重視するかによって決まると思いますが、一般的には内部ネットワークに置くのが無難かと思います。 理由としては↓のようなことが挙げられます。 a. DBサーバの重要性が高いケースが多い。 b. 内部ネットワークに置いたとしても、他の機器の危険性はあまり上がらない。 以下、bの理由です。 DMZ ⇔ 内部ネットワーク で許可する通信はのは下記のみですよね? 1. 発信元がWebサーバのIPアドレスであて先がDBサーバのIPアドレスでDBのポート。 2. 1へのレスポンス。 仮にWebサーバが乗っ取られたとしても、DBサーバで動いているDBMSの1ユーザとしてDBが使えるようになるだけでしょう。DBMSにセキュリティーホールでもあれば別ですが。 DBMSにログイン出来たからといって、内部ネットワーク内の他の機器にアクセスするのは難しいと思われます。DBのデータは見られたり書換えられたりする可能性が有りますが。 > Webサーバの設定ファイルにDBサーバのユーザ名とパスワードを書いておく必要があります。 DBMSのID/PWの事ですよね?これはDBサーバどこにあっても同じでは? DB以外のセキュリティーには関係無いと思われます。 DBサーバのOSのユーザ・パスワードであれば話は別ですが。
お礼
ご回答ありがとうございました。 仮にDBサーバを内部ネットワークに置いたとしても、 一番肝心なDBサーバ内のデータは守れないということですよね。 DBサーバ内にWebサーバからアクセスできるデータ以外に 重要なものがないなら、わざわざDBサーバを内部ネットワークに 置く意味がないように感じました。
- wormhole
- ベストアンサー率28% (1626/5665)
#2です。 >#1の方の案を提案してみるだけしてみるのが一番だと思いますが。 ちょっと訂正して。 DMZに配置するのはWebサーバだけにして WebサーバとDBサーバで別にネットワークを構築する というのはどうでしょうか。 WebサーバにはDMZにつなぐ分と、DBサーバにつなぐ分の2つのNICが必要にはなりますけど。
- root139
- ベストアンサー率60% (488/809)
内部ネットワークのセキュリティが心配なら、DBサーバ専用のセグメントを設けて、FWでDMZのWebサーバからのアクセスだけ許可すればよいのでは? 例)-------------------------------------- インターネット | | / --- DMZ FW \ --- DBサーバ用セグメント | | 内部ネットワーク
補足
前提条件の説明が不十分でした。 ネットワーク自体は別の所が管理しているため、 現在の構成(下記)を変更することができません。 こちらで決められるのは、WebサーバとDBサーバを どこのセグメントに置くかのみなんです。 インターネット | | FW ---- DMZ | | 内部ネットワーク
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
お礼
いろいろとご提案いただきありがとうございました。