Peterzz 11 Geschrieben 10. Dezember 2014 Melden Teilen Geschrieben 10. Dezember 2014 Hallo, ich muss für eine Art internes "Lastenheft" ein Kapitel über die technischen/sicherheitsrelevanten Anforderungen einer neuen Webapplikation schreiben und benötige mal ein paar Infos von euch. Das komplette System besteht aus einem Webserver inklusive einer Applikation (Frontend auf einem Windows Server) welcher zunächst nur im internen Netz verfügbar sein soll. Der Webserver (mit der Applikation) soll aber so konzipiert werden, dass er später auch im Internet verfügbar gemacht werden kann, so dass User sich auf diesen Webserver anmelden können. Der Webserver hat eine Verbindung zu einer MS-SQL Datenbank (auf einem Windows Server), die ausschließlich nur im internen Netz zur Verfügung steht. An was muss ich bei einer Beschreibung dieses Szenarios denken? Klar ist mir, dass die Verbindung zum Webserver nur mit https von statten gehen darf, und dass der Webserver mit der Applikation in einer DMZ stehen muss (zumindest wenn er aus dem Internet erreichbar sein soll). Es muss eine rollenbasierte Benutzerverwaltung auf dem Applikationsserver geben, der die Zugriffe bestimmt. Der Webserver muss natürlich gehärtet sein, aber auf was achtet man da im Allgemeinen? Wie sollte aber der Zugriff von der Applikation auf den Webserver sein? Immer über einen Dienst oder gibt es andere Möglichkeiten? Gibt es Standards für die Kommunikation von Applikation und SQL-Server die eingehalten werden müssen um Angriffen wie z.B. SQL-Injection, Cross Site Scripting (XSS) oder Diebstahl von Zugangs- und Sitzungsinformationen (Session Tokens) entgegen zu wirken. Ich hoffe es mir jemand ein paar Stichpunkte zukommen lassen, auf was man bei so einem Konstrukt noch achten muss. Viele Grüße Peter Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 10. Dezember 2014 Melden Teilen Geschrieben 10. Dezember 2014 Den Applikationsserver muss man nicht unbedingt in die DMZ stellen. Dort stellt man i.d.R. einen Reverse Proxy und / oder Web Applikation Firewall. Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 10. Dezember 2014 Autor Melden Teilen Geschrieben 10. Dezember 2014 Es ist aber sicherer, denke ich und die Veröffentlichung soll auch über eine Web Applikation Firewall passieren. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 10. Dezember 2014 Melden Teilen Geschrieben 10. Dezember 2014 Mit einem Reverse Proxy lässt man nur http(s) Verbindungen von der DMZ ins Netzwerk zu, wenn man den Applikationsserver in die DMZ stellt mindestens SQL und wenn nicht noch viel mehr Verbindungen (z.B. Authentifizierung). Zitieren Link zu diesem Kommentar
Peterzz 11 Geschrieben 11. Dezember 2014 Autor Melden Teilen Geschrieben 11. Dezember 2014 Für die, die auch Informationen dieser Art benötigen, habe ich was beim BSI gefunden: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/ISi-Reihe/ISi-Web-Server/web_server_node.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.