Sisällysluettelo:
Video: Network Security | What is a DMZ? (Marraskuu 2024)
Paras esimerkki demilitarisoidusta alueesta (DMZ) on tällä hetkellä voimakkaasti suojattu maa-alue Koreassa. Se on Pohjois-Korean ja Etelä-Korean välisen rajan kummallakin puolella oleva alue, jonka tarkoituksena on estää jokaista maata vahingossa aloittamasta sotaa toisen kanssa. Laskennassa DMZ on käsitteellisesti samanlainen siinä mielessä, että se tarjoaa paikan, joka pitää Internetin epäluotettavan maailman poissa organisaation sisäisestä verkosta ja tarjoaa silti palveluja ulkomaailmalle. Jo pitkään mikä tahansa tietotekniikan ammattilainen, joka rakentaa melkein minkä tahansa Internet-yhteydellä varustetun verkon, on DMZ: n itsestään selvä asia. Mutta pilvi on muuttanut kaiken tämän.
Yritystoimintaa koskevat lisätoimenpiteet toteutettu 2017
Jos DMZ on edelleen toiminnassa, huomaat, että se on tyypillinen esimerkki verkon segmentoinnista. Katso tarkkaan ja löydät yleensä jonkin yhdistelmän palomuureja ja reitittimiä. Useimmissa tapauksissa DMZ luodaan reunasuojauslaitteella (yleensä palomuurilla), jota sitten varmuuskopioi toinen reititin tai palomuuri, joka suojaa sisäisen verkon portteja.
Vaikka suurin osa organisaatioista ei enää tarvitse DMZ: tä suojautuakseen ulkomaailmalta, arvokkaiden digitaalisten herkkujen erottaminen muusta verkosta on edelleen tehokas tietoturvastrategia. Jos käytät DMZ-mekanismia täysin sisäisesti, silti on käyttötapoja, jotka ovat järkeviä. Yksi esimerkki on pääsyn suojaaminen arvokkaille tietovarastoille, pääsynhallintaluetteloille tai vastaaville aarreaitoille; Haluat mahdollisten luvattomien käyttäjien hyppäävän läpi niin monta ylimääräistä kehää kuin mahdollista ennen pääsyä heille.
Kuinka DMZ toimii
DMZ toimii näin: Tulee reuna-palomuuri, joka kohtaa avoimen Internetin kauhut. Sen jälkeen tulee DMZ ja toinen palomuuri, joka suojaa yrityksesi lähiverkkoa (LAN). Palomuurin takana on sisäinen verkko. Lisäämällä tämä ylimääräinen verkkojen välinen osa, voit toteuttaa ylimääräisiä suojaustasoja, jotka vahingollisten sisältöjen on voitettava, ennen kuin ne pääsevät todelliseen sisäiseen verkkoosi - missä kaiken todennäköisesti kattaa paitsi verkon käyttöoikeudet, myös päätepisteiden suojauspaketit.
Ensimmäisen palomuurin ja toisen välillä on yleensä kytkin, joka tarjoaa verkkoyhteyden palvelimille ja laitteille, joiden on oltava Internetin käytettävissä. Kytkin tarjoaa myös yhteyden toiseen palomuuriin.
Ensimmäinen palomuuri on määritettävä sallimaan vain liikenne, jonka on päästävä sisäiseen lähiverkkoosi ja DMZ: n palvelimiin. Sisäisen palomuurin tulisi sallia liikenne vain tiettyjen porttien kautta, jotka ovat välttämättömiä sisäisen verkon toimintaan.
DMZ: ssä sinun tulisi määrittää palvelimet siten, että ne hyväksyvät vain tietyn portin liikenteen ja vain tietyt protokollat. Haluat esimerkiksi rajoittaa portin 80 liikenteen vain HyperText Transfer Protocol (HTTP) -sovellukseen. Haluat myös määrittää nämä palvelimet niin, että ne suorittavat vain niiden toiminnan edellyttämät palvelut. Voit myös tarvita tunkeutumisen havaitsemisjärjestelmän (IDS) valvontatoimintoa DMZ: n palvelimilla, jotta palomuurin läpi tekevä haittaohjelma voidaan havaita ja pysäyttää.
Sisäisen palomuurin tulisi olla seuraavan sukupolven palomuuri (NGFW), joka tarkistaa liikenteesi, joka kulkee palomuurin avoimien porttien läpi ja etsii myös merkkejä tunkeutumisista tai haittaohjelmista. Tämä on palomuuri, joka suojaa verkon kruunukoruja, joten se ei ole paikka ohittaa. NGFW: n valmistajia ovat muun muassa Barracude, Check Point, Cisco, Fortinet, Juniper ja Palo Alto.
Ethernet-portit DMZ-porteina
Pienemmille organisaatioille on olemassa toinenkin edullisempi lähestymistapa, joka tarjoaa silti DMZ: n. Moniin koti- ja pienyritysreitittimiin sisältyy toiminto, jonka avulla voit määrittää yhden Ethernet-portteista DMZ-portiksi. Tämän avulla voit laittaa laitteen, kuten verkkopalvelimen, samaan porttiin, jossa se voi jakaa IP-osoitteesi, mutta myös olla saatavana ulkomaailmalle. Sanomattakin on selvää, että tämän palvelimen tulisi olla mahdollisimman lukittuna ja sillä pitäisi olla käynnissä vain ehdottoman välttämättömät palvelut. Jos haluat muokata segmenttisi, liitä erillinen kytkin kyseiseen porttiin ja sinulla voi olla useampi kuin yksi laite DMZ: ssä.
Tällaisen nimetyn DMZ-portin käytön haittapuoli on, että sinulla on vain yksi vikakohta. Vaikka useimmissa näistä reitittimistä on myös upotettu palomuuri, ne eivät yleensä sisällä NGFW: n kaikkia ominaisuuksia. Lisäksi, jos reititintä rikotaan, niin on myös verkko.
Vaikka reitittimeen perustuva DMZ todella toimii, se ei todennäköisesti ole niin turvallinen kuin haluat. Ainakin kannattaa harkita toisen palomuurin lisäämistä sen taakse. Tämä maksaa vähän ylimääräistä, mutta se ei maksa lähes yhtä paljon kuin tietoturvallisuus. Toinen tärkeä seuraus tällaisesta asennuksesta on, että sen hallinnointi on monimutkaisempaa, ja ottaen huomioon, että pienemmillä yrityksillä, jotka saattavat käyttää tätä lähestymistapaa, tyypillisesti ei ole IT-henkilöstöä, kannattaa ehkä ottaa konsultti käyttöön tämän määrittämisessä ja hallita se aika ajoin.
Requiem DMZ: lle
- Paras VPN-palvelut vuodelle 2019 Paras VPN-palvelut vuodelle 2019
- Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019 Paras isännöity päätepisteiden suojaus- ja tietoturvaohjelmisto vuodelle 2019
- Paras verkonvalvontaohjelma vuodelle 2019 Paras verkonvalvontaohjelmisto vuodelle 2019
Kuten aiemmin mainittiin, et löydä liian monta DMZ: tä vielä luonnossa. Syynä on, että DMZ: n oli tarkoitus täyttää toiminto, jota nykyään käsitellään pilvessä suurimman osan liiketoiminnoista. Jokainen asentamasi SaaS-sovellus ja kaikki isäntäpalvelimet siirtävät ulkopuolelta tulevaan infrastruktuuriin tietokeskuksestasi pilveen, ja DMZ: t ovat menneet matkalle. Se tarkoittaa, että voit valita pilvipalvelun, käynnistää verkkopalvelinta sisältävän ilmentymän ja suojata palvelimen pilvipalveluntarjoajan palomuurilla ja olet asetettu. Sinun ei tarvitse lisätä erikseen määritettyä verkkosegmenttiä sisäiseen verkkoosi, koska kaikki tapahtuu joka tapauksessa muualla. Lisäksi niitä muita toimintoja, joita voit käyttää DMZ: n kanssa, on saatavana myös pilvessä, ja menemällä näin, olet vielä turvallisempi.
Yleisenä turvallisuustaktiikkana se on silti täysin toteuttamiskelpoinen toimenpide. DMZ-tyylisen verkkosegmentin luominen palomuurin taakse tuo samat edut kuin mitä tehtiin silloin, kun tapani puristaa yhden lähiverkon ja Internetin välillä: toinen segmentti tarkoittaa enemmän suojaa, voit pakottaa pahat pojat tunkeutumaan ennen kuin he pääsevät mitä he todella haluavat. Ja mitä enemmän heidän on toimittava, sitä kauemmin sinun tai uhkien havaitsemis- ja reagointijärjestelmän on havaittava heidät ja reagoitava.