Obsah:
Video: What is a DMZ? (Demilitarized Zone) (Listopad 2024)
Nejlepší příklad demilitarizované zóny (DMZ) je dnes silně střežený pás země v Koreji. Je to oblast na obou stranách hranice mezi Severní Koreou a Jižní Koreou, která má zabránit tomu, aby každý národ náhodně zahájil válku s druhou. V oblasti výpočetní techniky je koncept DMZ podobný v tom, že poskytuje místo, které udržuje nedůvěryhodný svět internetu mimo interní síť vaší organizace a zároveň nabízí služby vnějšímu světu. Jakákoli budova IT profesionálů, téměř jakákoli síť připojená k internetu, po dlouhou dobu samozřejmě sestavila DMZ jako samozřejmost. Ale mrak to všechno změnil.
Podniková dodatečná bezpečnostní opatření přijatá v roce 2017
Pokud máte DMZ v provozu, zjistíte, že jde o typický příklad segmentace sítě. Podívejte se pozorně a obvykle najdete nějakou kombinaci firewallů a routerů. Ve většině případů bude DMZ vytvořeno zabezpečovacím zařízením na hranách (obvykle firewallem), které je pak zálohováno jiným routerem nebo bránou firewall bránícími brány do vnitřní sítě.
Zatímco většina organizací již nepotřebuje DMZ, aby se ochránila před vnějším světem, koncept oddělení cenných digitálních dobrot od zbytku vaší sítě je stále silnou bezpečnostní strategií. Pokud použijete mechanismus DMZ zcela interně, stále existují případy použití, které dávají smysl. Jedním příkladem je ochrana přístupu k cenným obchodům s daty, seznamům řízení přístupu nebo podobným pokladům; budete chtít, aby potenciální neautorizovaní uživatelé přeskočili co nejvíce dalších branek, než získají přístup.
Jak funguje DMZ
DMZ funguje takto: Bude existovat hraniční firewall, který čelí hrůzám otevřeného internetu. Poté bude DMZ a další firewall, který chrání lokální síť vaší společnosti (LAN). Za tímto firewallem bude vaše interní síť. Přidáním této další meziprostorové sítě můžete implementovat další vrstvy zabezpečení, které bude muset porazit malcontents, než se dostanou do vaší skutečné interní sítě - kde je vše pravděpodobně pokryto nejen kontrolou přístupu k síti, ale také sadami ochrany koncových bodů.
Mezi prvním a druhým firewallem obvykle naleznete přepínač, který poskytuje síťové připojení k serverům a zařízením, která musí být k dispozici na internetu. Přepínač také poskytuje připojení k druhému firewallu.
První firewall by měl být nakonfigurován tak, aby umožňoval pouze přenos, který potřebuje dosáhnout vaší interní LAN a serverů v DMZ. Interní firewall by měl umožňovat přenos pouze přes specifické porty, které jsou nezbytné pro provoz vaší interní sítě.
V DMZ byste měli nakonfigurovat své servery tak, aby akceptovaly pouze provoz na konkrétních portech a přijímaly pouze specifické protokoly. Například budete chtít omezit provoz na portu 80 pouze na protokol HTTP (HyperText Transfer Protocol). Tyto servery budete také chtít nakonfigurovat tak, aby spouštěli pouze služby nezbytné pro jejich fungování. Možná budete také chtít mít na serverech v DMZ monitorovací systém detekce narušení (IDS), aby bylo možné detekovat a zastavit útok malwaru, který je způsobil bránou firewall.
Interní firewall by měl být firewall nové generace (NGFW), který provádí inspekce vašeho provozu, který prochází otevřenými porty brány firewall a také hledá náznaky narušení nebo malwaru. Toto je brána firewall, která chrání korunovační klenoty vaší sítě, takže není místo, kde se dá šetřit. K výrobcům NGFW patří mimo jiné Barracude, Check Point, Cisco, Fortinet, Juniper a Palo Alto.
Porty Ethernet jako porty DMZ
Pro menší organizace existuje další méně nákladný přístup, který bude stále poskytovat DMZ. Mnoho směrovačů pro domácnosti a malé firmy obsahuje funkci, která umožňuje označit jeden z ethernetových portů jako port DMZ. To vám umožní umístit zařízení, jako je webový server, na tento port, kde může sdílet vaši IP adresu, ale také být dostupné pro vnější svět. Není třeba říkat, že tento server by měl být co nejvíce uzamčen a měly by být spuštěny pouze naprosto nezbytné služby. Chcete-li rozšířit svůj segment, můžete k tomuto portu připojit samostatný přepínač a mít v DMZ více než jedno zařízení.
Nevýhodou použití takového určeného portu DMZ je, že máte pouze jeden bod selhání. Přestože většina těchto směrovačů také obsahuje zabudovaný firewall, obvykle neobsahují úplnou sadu funkcí NGFW. Kromě toho, pokud je router porušen, pak je to i vaše síť.
Zatímco DMZ založené na routeru funguje, pravděpodobně to není tak bezpečné, jak chcete. Přinejmenším můžete zvážit přidání druhého firewallu. To bude stát trochu navíc, ale nebude to stát skoro tolik, kolik by to mělo za porušení dat. Dalším důležitým důsledkem takového nastavení je, že je složitější spravovat a vzhledem k tomu, že menší společnosti, které by tento přístup mohly používat, obvykle nemají zaměstnance IT, možná budete chtít zapojit konzultanta, aby to nastavil a poté spravoval to čas od času.
Requiem pro DMZ
- Nejlepší VPN služby pro rok 2019 Nejlepší VPN služby pro rok 2019
- Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019 Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019
- Nejlepší software pro monitorování sítě pro rok 2019 Nejlepší software pro monitorování sítě pro rok 2019
Jak již bylo zmíněno, nenajdete v divočině příliš mnoho DMZ. Důvodem je to, že cílem DMZ bylo plnit funkci, se kterou se dnes v cloudu manipuluje převážná většina obchodních funkcí. Každá aplikace SaaS, kterou rozmístíte, a každý server, který hostujete, se přesouvají z externě orientované infrastruktury z vašeho datového centra do cloudu a DMZ se vydaly na cestu. To znamená, že si můžete vybrat cloudovou službu, spustit instanci obsahující webový server a chránit tento server pomocí brány firewall poskytovatele cloudu a jste nastaveni. Není třeba přidávat do vaší interní sítě zvlášť nakonfigurovaný segment sítě, protože všechno se jinde stejně děje. Navíc jsou v cloudu k dispozici i další funkce, které můžete použít s DMZ, a tím pádem budete ještě bezpečnější.
Přesto, jako obecná bezpečnostní taktika, je to zcela proveditelné opatření. Vytvoření segmentu sítě DMZ za branou firewall přináší stejné výhody, jako tomu bylo v případě, že jste rozdrtili jeden mezi vaší sítí LAN a internetem: další segment znamená větší ochranu, kterou můžete donutit padouchy, aby museli proniknout dříve, než se dostanou k co opravdu chtějí. A čím více musí pracovat, tím déle musíte vy nebo váš systém pro detekci a reakci na hrozby odhalit a reagovat.
