Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / OLAP и DWH Новый топик    Ответить
 с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Nika gnome
Member

Откуда:
Сообщений: 619
Правильно ли с точки зрения безопасности, чтобы сервер DWH (конкретно компонент SSIS на MS SQL Server) лез в и-нет за дополнительными данными (курсы валют там, погода, или какие-то профильные сайты)

Или обязательно (зачем?) нужен промежуточный компьютер, через который эта информация должна пробрасываться? Тогда, выходит, там нужно ставить другой экземпляр сервера, чтобы запустить SSIS.
2 ноя 20, 19:28    [22225243]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
.Евгений
Member

Откуда:
Сообщений: 574
Nika gnome,

с точки зрения безопасности важно одно: как можно воспользоваться действиями (или бездействием) вашего ПО так, чтобы нарушить его штатное функционирование. Если под видом курсов валют можно прислать и заставить выполнить drop database - это небезопасно вне зависимости от того, через сколько промежуточных компьютеров и ПО это произошло.

Если же вы интересуетесь пристрастиями и вкусами вашего штатного безопасника, то лучше выяснить это у него напрямую.
2 ноя 20, 20:43    [22225283]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Nika gnome
Member

Откуда:
Сообщений: 619
.Евгений
Если же вы интересуетесь пристрастиями и вкусами вашего штатного безопасника, то лучше выяснить это у него напрямую.


не все конторки одинаковые. У меня спросили: "а это точно безопасно?" ))
2 ноя 20, 20:59    [22225291]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 34263
Блог
Nika gnome,

Лучше через dmz как тянуть, так и отдавать.
Если нет проблем с лицензиями, то можно тот же SSIS там разместить.
Или ту компоненту, которой будете тянуть данные (если неохота тратиться)

Сообщение было отредактировано: 2 ноя 20, 20:57
2 ноя 20, 21:02    [22225293]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
.Евгений
Member

Откуда:
Сообщений: 574
Nika gnome
не все конторки одинаковые. У меня спросили: "а это точно безопасно?" ))

Конечно, нет. Риски существуют всегда.
Судя по заданному вопросу, именно вы и будете отвечать за безопасность, оценивать риски и оптимальность вариантов. Здесь вы можете только набрать мнений и советов, умных или не очень. Причем весьма общих, т.к. ваши инфраструктура, решения, потребности и возможности известны только вам. Задавайте более конкретизированные вопросы, получите более точные и полезные ответы.
2 ноя 20, 22:24    [22225336]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Nika gnome
Member

Откуда:
Сообщений: 619
.Евгений
Здесь вы можете только набрать мнений и советов, умных или не очень. Причем весьма общих, т.к. ваши инфраструктура, решения, потребности и возможности известны только вам.


Именно так.
Рассчитываю на комментарии из разряда: "у нас бы в подобных случаях это было (... [запрещено/разрешено])".
Мнение пользователя Критик в этом плане очень полезное.
2 ноя 20, 22:59    [22225350]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
big-duke
Member

Откуда:
Сообщений: 6763
Nika gnome
Тогда, выходит, там нужно ставить другой экземпляр сервера, чтобы запустить SSIS.


https://docs.microsoft.com/en-us/sql/integration-services/run-manage-packages-programmatically/loading-and-running-a-remote-package-programmatically?view=sql-server-ver15
3 ноя 20, 09:01    [22225480]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
L_argo
Member

Откуда:
Сообщений: 1303
Nika gnome
Правильно ли с точки зрения безопасности, чтобы сервер DWH (конкретно компонент SSIS на MS SQL Server) лез в и-нет за дополнительными данными (курсы валют там, погода, или какие-то профильные сайты)
Тут не будет четкого ответа. Если эти сайты заведома надежны, то наверное можно. Но это в идеале.
В реале все равно придется делать промежуточное звено, которое будет прослойкой между БД и внешним источником.
3 ноя 20, 10:06    [22225505]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Ferdipux
Member

Откуда: Москва
Сообщений: 565
Nika gnome


Именно так.
Рассчитываю на комментарии из разряда: "у нас бы в подобных случаях это было (... [запрещено/разрешено])".

У ИБ основные идеи/постулаты следующие в подобных случаях (по опыту, в банках или подобных крупных структурах)
  • Обращение, запрос может идти от систем более защищенных к менее защищенным, не наоборот.
  • Основные системы (БД DWH, в вашем случае) не ходят за ресурсами в Интернет, мало ли что прилетит :). Данные закачивают в систему-буфер, где данные могут проходить валидацию на безопасность. Затем - грузятся в основную систему.
  • Если основная система ограниченного использования (без нее бизнес не остановится, и не станет сильно сложнее/дольше операции), то могут разрешить ходить в Интернет за данными.

То есть - выделяется DMZ, в нее ставится сервер с буфером, он ходит за данными в Интернет. Далее, основной сервер проверяет наличие новых данных, и если есть - забирает. Встречал в качестве буфера - использование шины Kafka.
3 ноя 20, 14:21    [22225692]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 34263
Блог
Ferdipux,

Да, у меня было что-то наподобие, только вовне ходила Информатика, хотя почти везде в системе использовался SSIS. Сейчас правда досталась в наследство система, которая сама ходит к сторонним источникам, нужно всю процедуру загрузки менять, но это такой геморрой )
3 ноя 20, 18:44    [22225915]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Полковник.
Member

Откуда:
Сообщений: 1901
Nika gnome,

У всех по разному, у некоторых и СБ то никакой нет. Так что иди и спроси у себя там как да что.
3 ноя 20, 22:23    [22226023]     Ответить | Цитировать Сообщить модератору
 Re: с точки зрения СБ. Может ли сервер DWH обращаться к внешним ресурсам в и-нете?  [new]
Nika gnome
Member

Откуда:
Сообщений: 619
Критик, Ferdipux, big-duke
спасибо за чёткие ответы!
5 ноя 20, 10:44    [22226687]     Ответить | Цитировать Сообщить модератору
Все форумы / OLAP и DWH Ответить