136423
Goto Top

Best practice - Jira und Confluenceinstallation

Liebe Community,

ich hätte in kurzes Anliegen an euch. Ich möchte Atlassian Jira und Confluence installieren, allerdings haben wir lediglich Lizenzen für die Server und Core Version (leider keine Service Desk Lizenz).
Meine Frage ist nun wie ich die Komponenten am besten installieren soll. Wir haben Partner, die von außen (ohne VPN, sondern frei übers Internet) auf Jira und Confluence zugreifen sollen.
Wir haben zwar eine Firewall dazwischen die mittels PAT die Anfragen weiterleitet und wir setzen einen Reverse Proxy ein, dennoch frage ich mich wie ich bestenfalls installiere:

Option 1: Jira/Confluence in der DMZ und Datenbank im Intranet
Option 2: Alle Komponenten in der DMZ

Mir wäre es lieber wenn die Datenbank intern liegt, allerdings habe ich etwas Bauchschmerzen wenn ich überlege, dass ich dadurch ja Ports von der DMZ in Richtung Intranet freigeben müsste.
Selbes Problem hätte ich übrigens auch mit unserem Domain-Controller. Wahrscheinlich müssten wir dann auf lokale (bzw. interne) Jira/Confluence Nutzer zurückgreifen.

Mit vielen Grüßen,
niLuxx

Content-Key: 460086

Url: https://administrator.de/contentid/460086

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: sabines
sabines 07.06.2019 um 11:11:19 Uhr
Goto Top
Moin,

ohne die Produkte zu kennen, ist Option 2 die BP bei solchen Anwendungen, alles andere öffnet unnötige Türen.
GGfs. kann sogar überlegt werden, dass ganze außerhalb der DMZ auf einem externen Webserver zu hosten.

Gruss
Mitglied: Dani
Dani 07.06.2019 um 14:23:56 Uhr
Goto Top
Moin,
Option 2: Alle Komponenten in der DMZ
Warum willst du die Datenbank, welche u.a senible Daten gespeichert hat unbedingt in der DMZ aufbewahren?

Option 1: Jira/Confluence in der DMZ und Datenbank im Intranet
Den Ansatz würde ich verfolgen. Wobei sicherzustellen ist, dass die Anzahl der Ports für den Zugrff auf die Datenbank bei maximal 1-2 Stück liegt. Zwischen LAN und DMZ natürlich eine entsprechende Firewall

Option 3: Alles ins LAN, Zugriff über Reverse Proxy der in der DMZ steht.
Somit kannst du die Anwendung vollumfänglich in das Active Directory integrieren und vernünftig sichern.

Egal für welche Option du dich entscheidest, bitte auf jeden Fall dafür sorgen, dass die Zugriffe aus dem Internet über eine Firewall mit IPS laufen. Somit können evtl. Angriffe und mögliche Nutzung von Sicherheitslücken (SQL Injection) blockiert werden.

Zudem empfehle ich dir für die Zugriff von "außen" auf jeden Fall eine 2 Faktor Authentifizierung zu implementieren. Gerade wenn wichtige Daten dort erfasst sind.


Gruß,
Dani
Mitglied: 136423
136423 11.06.2019 um 08:23:22 Uhr
Goto Top
Hallo Ihr beiden. Danke für eure Antworten.

@ Dani
Ich verwende schon einen Reverse Proxy innerhalb der DMZ um die Verbindung zwischen Jira und Firewall zu regeln. Vielleicht als kurze Info. Der Jira/Confluence Server hat keine öffentliche IP, Anfragen werden über PAT direkt von der öffentlichen IP der Firewall weitergeleitet:
Client <=> Firewall (Öffentliche IP) <=> PAT <=> Reverse Proxy (DMZ) <=> Jira-Server (DMZ) <=> Database (DMZ).

Ich tendiere fast auch zu Lösung 1, einfach damit ich diesen öffentlichen Bereich strikt getrennt habe.