api ל SQLServer לא מקומי

אבי

לקוח ביקש להסתנכרן מול SQLServer שנמצא בשרת VPS שלו.
מה הדרך הכי יציבה ובטוחה לעשות את זה?

תודה

yossiz

@אבי הכותרת והשאלה לא מתאימים. אני מניח שהתכוונת להגיד "api ל SQLServer לא מקומי".
לא כתבת הרבה פרטים, אבל אם מדובר בתוכנה שרצה בסביבה בטוחה (דהיינו שלא איכפת לך להכניס הרשאות גישה ל-DB) אז אפשר פשוט להשתמש בחיבור רשת ישירות ל-DB.
מה פיספסתי?

אבי

@yossiz אמר בapi ל SQLServer מקומי:

@אבי הכותרת והשאלה לא מתאימים. אני מניח שהתכוונת להגיד "api ל SQLServer לא מקומי".

צודק, תוקן.

לא כתבת הרבה פרטים, אבל אם מדובר בתוכנה שרצה בסביבה בטוחה (דהיינו שלא איכפת לך להכניס הרשאות גישה ל-DB) אז אפשר פשוט להשתמש בחיבור רשת ישירות ל-DB.
מה פיספסתי?

אין לי מושג מה רמת ההרשאות בשרת ומה עוד יש שם
מה שאני יודע זה דטה בייס של תוכנת APT שנמצאת בשרת VPS, אני צריך לשאוב משם נתונים, רציתי לשמוע אם יש המלצות לחיבור יציב שלא יגרום נזק לאבטחה.

yossiz

@אבי אמר בapi ל SQLServer לא מקומי:

אין לי מושג מה רמת ההרשאות בשרת ומה עוד יש שם

לא דיברתי על השרת שמריץ את ה-SQL SERVER אלא על הסביבה שבה התוכנה שלך רצה. אם תתחבר לשרת שלו, הרי תצטרך להכניס פרטי גישה לתוכנה שלך, ולכן צריך לשים לב לסביבה שבה התוכנה שלך רצה, ולאבטח את פרטי הגישה כנדרש. (אם זה רץ על שרת שלך, אפשר להתעלם מסעיף זה, התכוונתי למקרה שזו תוכנה שולחנית שרצה על מחשבים של משתמשים לא מהימנים)

רציתי לשמוע אם יש המלצות לחיבור יציב שלא יגרום נזק לאבטחה

בקשר ליציבות, לכאורה אין המלצות מיוחדות, SQL SERVER כמו דאטה בייסים אחרים מיועד עבור חיבורים מרוחקים. ביל גייטס היה אמור ממזמן לדאוג שהחיבורים אליו יציבים. פשוט תתחבר עם הפרטים שהוא נותן לך ושלום על ישראל.
לגבי אבטחה, אם הוא הגדיר TLS בשרת ה-SQL SERVER שלו, אז מומלץ להשתמש ב-TLS.
יותר מזה אני לא מכיר. נחכה למנוסים...

clickone

@אבי כל מה ש @yossiz אמר מצויין.
הדבר היחיד שהייתי מוסיף וממליץ, זה שהIP יהיה פתוח רק לכתובות ספציפיות ולא לכל העולם, ובנוסף, לשים סיסמא קשה.
אצלינו יש DB שמחוברים אליו מכמה שרתים שונים והכל עובד תקין ב"ה.

yossiz

@clickone אלו המלצות עבור בעל השרת (שזה לא @אבי במקרה הזה)

clickone

@yossiz צודק לגמרי.
מצד שני גם אם זה לא קשור אליו, אני מציע לו לדאוג שזה יהיה כך, או לפחות להמליץ על כך למנהל השרת.
אחרת אם ח"ו יקרה משהו יאשימו אותו.
(אני מניח שכעת השרת חסום לחיבור מבחוץ שזה ברירת המחדל - אבל לא בטוח שזה המצב כעת)

אבי

@yossiz אמר בapi ל SQLServer מקומי:

לא דיברתי על השרת שמריץ את ה-SQL SERVER אלא על הסביבה שבה התוכנה שלך רצה. אם תתחבר לשרת שלו, הרי תצטרך להכניס פרטי גישה לתוכנה שלך, ולכן צריך לשים לב לסביבה שבה התוכנה שלך רצה, ולאבטח את פרטי הגישה כנדרש. (אם זה רץ על שרת שלך, אפשר להתעלם מסעיף זה, התכוונתי למקרה שזו תוכנה שולחנית שרצה על מחשבים של משתמשים לא מהימנים

זה רץ על שרת שלי.
כנראה שלא הסברתי את עצמי טוב, אני רוצה להגיע למצב שיש לי API שמתחבר אל השרת שלו בלי לתת פרטי גישה לתוכנה שלי, השאלה אם יש משהו כזה קיים יציב ובטוח.

תודה

yossiz

@אבי לא הבנתי כלל

יוסף בן שמעון

@אבי יש לך תוכנה שרצה על שרת שלך בשם שרת X, ויש ללקוח דאטבייס על שרת Y, והתוכנה משרת X צריכה להתחבר למסד בשרת Y. הבנתי נכון?
אם כן, אז @yossiz ענה תשובה מצויינת, שרת Y צריך לפתוח את האפשרות לחיבור מרוחק (עדיף עם הגבלות IP כמו שכתב @clickone ) וזהו, שרת X מתחבר למסד מרוחק כמו תמיד.
אין לך מה לחשוש בקשר לאבטחה של שרת X, החיבור יוצא משרת X ולא נכנס אליו, שרת Y צריך לחשוש מכניסות לא מורשות לשרת שלו.
אפשר להוסיף שכבת אבטחה ע"י ששרת Y מאשר רק חיבורים פנימיים, ושרת X מתחבר לרשת של שרת Y עם VPN

OdedDvir

@יוסף-בן-שמעון אמר בapi ל SQLServer לא מקומי:

אין לך מה לחשוש בקשר לאבטחה של שרת X, החיבור יוצא משרת X ולא נכנס אליו, שרת Y צריך לחשוש מכניסות לא מורשות לשרת שלו.

התשובה של @yossiz היתה זהירה יותר, כמו שציין שפרטי הכניסה לשרת Y נמצאים בשרת X, לכן מן הראוי לחשוש גם לאבטחה של X.