Безопасный доступ к сети Windows с веб-службы

Question

Мы разработали веб-службу RESTful, которая требует доступа к общему сетевому ресурсу для чтения и записи файлов. Это публичная веб-служба (работающая через SSL), которая требует от сотрудников входа в систему с использованием назначенного имени пользователя и пароля.

Этот веб-сервис будет работать в DMZ. Не кажется «правильным» доступ к сетевой доле из DMZ. Я бы рискнул предположить, что «безопасным» способом сделать это будет предоставление другой услуги внутри домена, который только разговаривает с нашей веб-службой. Таким образом, если кто-то захочет использовать его, им придется найти способ сделать это через веб-службу, а не через известные системные API.

Является ли мое решение «правильным»? Есть ли способ лучше?

Примечание:

• веб-служба делает не запустить под IIS.
• Веб-служба в настоящее время работает под учетной записью с доступом к общему доступу к сети и доступом к базе данных SQL.
• Веб-сервис предназначен только для назначенного персонала, а не для публики.
• Я разработчик, а не специалист по ИТ.

Answer 1

Как насчет какого-то vpn для использования внутренних ресурсов? Для этого есть несколько хороших решений, и открытие сетевых ресурсов в Интернете кажется слишком большим, чтобы рискнуть.

В случае, если злоумышленник ворвался в ваш DMZ-хост с помощью этих веб-сервисов, он может проникнуть на ваш внутренний сервер с использованием того же API, если вы не можете позволить себе создавать два совершенно разных решения.

При непосредственном доступе к файловым серверам из DMZ вы должны ограничить эти соединения с помощью брандмауэра, поэтому даже после взлома вашего DMZ-хоста злоумышленник не может делать «все», а только читать (писать?) На эти серверы.

Я бы предложил # 2