Реквием по ДМЗ


Демилитаризованная зона (ДМЗ) – это тип сегментации сети, что раньше было обязательным для любой организации, подключенный к интернету. Но облако сделала ДЗ ненужных для большинства ИТ-сред, и вот почему.

Requiem for the DMZ

Лучшим примером демилитаризованной зоны (ДМЗ) сегодня под усиленной охраной полосу земли в Корее. Это территория по обе стороны границы между Северной Кореей и Южной Кореей, который предназначен, чтобы держать каждого народа от случайного развязывания войны с другими. В вычислительной технике ДЗ аналогична концепции в том, что он предоставляет место, которое держит ненадежный мир Интернет из внутренней сети вашей организации, в то время как все еще предлагая услуги для внешнего мира. В течение длительного времени, любого профессионала здания практически любой интернет-подключен сеть вместе ДМЗ как само собой разумеющееся. Но облака все так поменялось.

Requiem for the DMZ

Причина в том, что облако устранило необходимость для большинства компаний, чтобы разместить свой собственный веб-сервера. Назад в день, если у вас в доме веб-сервер, который был открыт для публики, тогда вы хотели бы, что сервер жить в ДМЗ. Кроме того, вы бы хотели, ваш почтовый сервер есть, и любая другая на внешней стороне сервера, таких как ваш шлюз удаленного доступа, сервер аутентификации, прокси-сервер, или, возможно, даже telnet-сервер. Это все устройства, которые должны быть доступны из интернета, но которые предоставляют услуги вашей организации. Сегодня, конечно, большинство компаний используют хостинг-провайдеры электронной почты наряду с развертыванием программного обеспечения как услуги (SaaS) приложений, которые делают корпуса внешних веб-серверов в вашем шкафу ненужных данных.

Приняты дополнительные меры по обеспечению безопасности предприятия 2017

Requiem for the DMZ

Если у вас еще есть DMZ в эксплуатацию, то вы найдете это типичный пример сегментирования сети. Посмотрите внимательно и вы вообще найдете какое-то сочетание межсетевых экранов и маршрутизаторов. В большинстве случаев, ДМЗ будет создана периферийное устройство безопасности (обычно брандмауэр), который затем поддерживается на другой маршрутизатор или брандмауэр охраняет ворота к внутренней сети.

В то время как большинство организаций уже не нужен DMZ чтобы защитить себя от внешнего мира, концепция разделения ценные цифровые вкусности от остальной части сети до сих пор мощные стратегии безопасности. Если применить механизм DMZ на исключительно внутренней основы, то есть еще варианты использования, что имеет смысл. Одним из примеров является защита доступа к ценной хранилищ данных, списки управления доступом, или похожие сокровищами; вы хотите, любой потенциальный несанкционированный прыжок через столько дополнительных обручи как можно, прежде чем они получат доступ.

Как ДМЗ работает

ДМЗ работает как это: там будет пограничным межсетевым экраном, что лица ужасы открытый интернет. После этого будет ДЗ и другой брандмауэр, который защищает ваш компании локальной сети (ЛВС). За брандмауэром будет вашей внутренней сети. Добавив эту дополнительную в сети, можно реализовать дополнительные уровни безопасности, что недовольных нужно будет победить, прежде чем они могут добраться до вашего фактического внутренней сети—где все предположительно также охватывается не только контролирует доступ к сети, но для защиты конечных точек тоже.

Между первым брандмауэр и второй, вы сможете найти коммутатор, который обеспечивает сетевое подключение к серверам и устройствам, которые должны быть доступны в сети. Коммутатор также обеспечивает подключение ко второму брандмауэра.

Первый брандмауэр должен быть настроен, чтобы разрешить только трафик, который должен достичь внутренней локальной сети и сервера в DMZ. Внутренний брандмауэр должен разрешать трафик только через определенные порты, которые необходимы для функционирования внутренней сети.

В DMZ, вы должны настроить свои сервера, чтобы только принимать трафик на определенные порты и принимать только определенные протоколы. Например, вы хотите ограничить трафик на порт 80 гипертекстовый протокол передачи (HTTP). Вы также хотите, чтобы настроить эти серверы так, чтобы они запускались только услуги, необходимые для их функционирования. Вы можете также хотеть иметь систему обнаружения вторжений (ids) монитор активности сервера в ДМЗ, так что вредоносные атаки, что делает его через брандмауэр могут быть обнаружены и остановлены.

Внутренний брандмауэр должен быть брандмауэр следующего поколения (МЭСП), который выполняет проверку трафика, который проходит через открытые порты в брандмауэре, а также ищет признаки вторжений и вредоносных программ. Это межсетевой экран, который защищает драгоценности короны из вашей сети, так что это не то место, чтобы экономить. Производители брандмауэры следующего поколения включают Barracude, КПП, Циско, в Fortinet, Juniper и Пало-Альто, среди других.

Requiem for the DMZ

Порты Ethernet портом DMZ

Для небольших организаций, есть еще один менее затратный подход, что дают ДЗ. Многие дома и малого бизнеса маршрутизаторы включают в себя функцию, которая позволяет назначить один из портов Ethernet в качестве порта DMZ. Это позволяет поместить устройство, такое как веб-сервер на этом порту, где он может поделиться своими IP-адрес, но и быть доступным для внешнего мира. Излишне говорить, что этот сервер должен быть как заблокированы, и только абсолютно необходимые запущенных служб. Плоть из вашего сегмента, вы можете прикрепить отдельный выключатель к этому порту и имеют более чем одно устройство в DMZ.

Недостатком использования такого места порт DMZ заключается в том, что у вас есть только одна точка отказа. Хотя большинство из этих маршрутизаторов, также включают в себя встроенный брандмауэр, они вообще не включают полный набор функций МЭСП. Кроме того, если маршрутизатор будет пробита, тогда ваша сеть.

В то время как маршрутизатор на основе ДМЗ работает, это наверное не так безопасно, как вам хотелось бы. По крайней мере, вы могли бы хотеть рассмотреть добавление второго экран позади него. Это будет стоить немного больше, но это не будет стоить почти столько же, как данные нарушения будут. Основных следствия такой установки является то, что он более сложен в управлении, и, учитывая, что более мелкие компании, которые могли бы использовать этот подход, как правило, не имеют ИТ-персонала, вы можете нанять консультанта, чтобы установить это, а затем управлять им время от времени.

Requiem for the DMZ

Реквием по ДЗ

Как упоминалось ранее, вы не найдете слишком много ДЗ еще работает в дикой природе. Причина в том, что ДЗ была призвана заполнить функцию, которая сегодня ведется в облаке для подавляющего большинства бизнес-функций. Каждое приложение SaaS развертывании и каждый сервер все перемещения внешних инфраструктуру центра обработки данных и в облаке, и демилитаризованных зонах прошли вдоль для езды. Это означает, что вы можете выбрать облачный сервис, запустить экземпляр, который включает в себя веб-сервер, и защищает этого сервера с поставщиком облачных брандмауэр и все готово. Не нужно добавлять отдельно настроенной сетевой сегмент внутренней сети, поскольку все, что происходит в других странах, во всяком случае. Кроме того, эти и другие функции, которые можно использовать в качестве DMZ, также доступны в облаке, и туда, вы будете еще безопаснее.

Еще, в качестве общей тактики безопасности, это вполне приемлемый показатель. Создавая в стиле DMZ сегменте сети за брандмауэром приносит такую же пользу, как это было, когда вы использовали, чтобы раздавить между вашей локальной сетью и в сети: другой сегмент означает больше защиты вы можете заставить плохих парней, чтобы впитаться, прежде чем они могут получить то, что они действительно хотят. И чем больше они работают, тем дольше вы или ваши угрозы обнаружения и срабатывания системы, чтобы обнаружить их и реагировать.

Requiem for the DMZ

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: