Guten Morgen und danke für die Antwort!
Zitat von "jody"Aus meiner Sicht wäre der Aufbau über die Firewall der sichere Weg.
Wenn Du einen Switchport "untag"st, laufen alle VLANs auf diesem Port zusammen und es snsteht ein Risiko, das dieser Port kompromitiert werden kann, bzw. der Zugriff VLAN-übergreifend erfolgen könnte.
Ein VLAN-übergreifender Zugriff wäre bei korrekter Switchkonfiguration auszuschließen. Der Weg über die Firewall böte lediglich den Vorteil, dass der Zugriff granularer gesteuert werden könnte - bis hin zu einem Zeitfenster, in dem die Zugriffe erlaubt sind. Der "Sündenfall" ist eigentlich, dass sich Server aus verschiedenen Sicherheitszonen ein Netzwerkgerät als Sicherungsmedium teilen sollen. Damit muss in erster Linie das NAS ausreichend sicher sein und den Zugriff auf unberechtigte Bereiche zuverlässig unterbinden. Klar: Man kann das über Benutzerberechtigungen regeln - die Sorge ist aber, dass sich diese Berechtigungsstruktur durch Implementierungsfehler umgehen lassen könnte.
Diese Erwägungen gelten zumindest dann, wenn das NAS aus den verschiedenen Sicherheitsbereichen heraus adressierbar ist. Man könnte auch den Server in der Zone mit den höchsten Sicherheitsanforderungen dazu missbrauchen, die Daten von den anderen Servern "einzusammeln" und aufs NAS zu schreiben. Dann müsste man auf der Firewall den (initialen) Zugriff nur vom höchsten in niedrigere Securitylevel erlauben, was unter Sicherheitsaspekten vertretbarer wäre. Neben dem Durchsatzproblem käme dann aber auch ein Handhabungsproblem im Wiederherstellungsfall hinzu.
Im Zweifel müsste man halt doch für jedes Securitylevel ein eigenes NAS bereitstellen. Ich lass mir was einfallen!
Gruß
Steffen