Jos*_*wer 5 backup dmz best-practices
我们有一个有点静态的 Web 应用程序,其中包含大量媒体文件,该应用程序在 DMZ 上的 2008 R2 非域服务器上运行。我需要备份服务器上的媒体文件。受信任网络上服务器的当前备份机制是 BackupExec 代理。
备份 DMZ 服务器的最佳做法是什么?将 BackupExec 客户端推送到它,并让它通过防火墙连接回受信任网络上的 BE 服务器,我真的很不舒服......
使用基于 SSH 的 RSync 或其他适当且安全的文件传输方法,将文件从生产 DMZ 机器获取到您的内部网络。然后备份。
根据您的安全立场,您需要确定是否可以为双向传输打开端口。如果只有一个,您的安全立场将决定哪个方向。DMZ 机器(您的生产网站)启动并将这些文件推送到您的内部网络是否更安全?或者,您的内部网络从 DMZ 机器启动和拉取文件是否更安全?
无论哪种方式,所使用的帐户都应该具有执行传输所需的最低权限,这样如果帐户被盗用,它不会造成比删除文件或填满磁盘更多的损害。
- 说了这么多,这与允许 BE 协议和数据无论如何移动这些数据有什么不同?