公司用了一套erp系統,這幾天才知道之前有請廠商開發app,要直接從手機可以拋資料到SQL的資料庫,前一家公司只要是對外的都會直接跟內部隔離,但是今天廠商說要開放1433port,而且內部員工也要使用,無法隔離,但是我覺得這樣風險太大了。公司現在主機放在另外一家公司,有forti的防火牆在外面,目前主機是放在dmz區,下禮拜會移回來我們公司,也會有防火牆,請問各位前輩有什麼好辦法。感謝
建議公布廠商名稱, 以拯救芸芸眾生, 避免大家往後踩雷...
開 1433 去 Internet 用? 就算在內網, 也不應該把 port 1433 直接給 Client 端連線, 中間至少要經過一台 Application Server 或 Middleware Server 來處理....
現在企業連內網都危機重重了, 大家都在喊: 內網即威脅; SQL 還敢這樣開? 這是個完全沒資安概念的軟體架構設計, 還以為是學生在學校寫作業嗎?...這廠商蠢到極點了...
目前唯一能解的:
請在所有手機上安裝 VPN, 啟動 VPN 之後進內網再連線...
手機通常不會直接操作資料庫,
而是透過API去操作資料庫...
正常是需要寫一個api來處理,不要讓app能直接去動到資料庫。
廠商要求開放1433port就是想要直接能連結資料庫處理。這樣的風險太大。
公司用了一套erp系統,這幾天才知道之前有請廠商開發app,要直接從手機可以拋資料到SQL的資料庫
我猜你們應該連ERP系統不會改吧?
才委外廠商開發APP
但問題是廠商只會做APP又不會改你們的ERP做API介面
一般來說ERP系統的API要自己做,再由廠商串接手機~
或者ERP及APP都是由廠商來做整合...
好方法就是
內部使用 1433 port
對外換個 port (例如:2266)
如此一來
1.app 的程式只要加個 port (1433連不到就改連 2266)
2.ERP 程式不用改(或加 API)
3.你只要弄個 port mapping (1433<->2266)
皆大歡喜
選我正解
幾個重點趕緊提醒一下,希望還來得及
以上其他建議請參照raytracy大大之解答
不要怪ERP系統商,因為他們多半只管系統,資安不是他們強項
開1433 哈哈,就是給人家打,大門都了,沒人打才怪
將API 改port , 在主機或forti 開轉port 就好了 ,問題是 API 廠商會改嗎?
開VPN 是一定要的,有forti 開VPN 不難吧
隨便在windows 架個SSR Server VPN 不就搞定了
開IIS 被打只是剛好吧