Дмз мъртъв ли е? не точно

Най-добрият пример за демилитаризирана зона (DMZ) днес е силно защитена ивица земя в Корея. Това е зоната от двете страни на границата между Северна и Южна Корея, която има за цел да попречи на всяка държава да започне случайно война с другата. При изчисляването, DMZ е подобно по концепция по това, че осигурява място, което предпазва ненадеждния свят на интернет от вътрешната мрежа на вашата организация, като същевременно предлага услуги на външния свят. Дълго време всяка IT професионална сграда почти всякакъв вид свързана с интернет мрежа съставя DMZ като разбира се. Но облакът промени всичко това.

Причината е, че облакът отмени необходимостта повечето компании да хостват собствени уеб сървъри. В този ден, ако имате вътрешен уеб сървър, който е отворен за обществото, тогава бихте искали този сървър да живее във вашия DMZ. По същия начин бихте искали вашия имейл сървър там и всички други външно ориентирани сървъри, като вашия шлюз за отдалечен достъп, сървър за удостоверяване, прокси сървър или може би дори сървър на Telnet. Това са всички устройства, които трябва да са достъпни от интернет, но които предоставят услуги от вашата организация. Днес, разбира се, повечето компании използват хоствани доставчици на електронна поща, заедно с внедряването на приложения за софтуер като услуга (SaaS), които правят ненужното избиране на външни уеб сървъри в шкафа ви за данни.

Предприети допълнителни мерки за сигурност на предприятието 2017 г.

Ако все още имате DMZ в експлоатация, тогава ще откриете, че това е типичен пример за сегментиране на мрежата. Погледнете внимателно и обикновено ще намерите някаква комбинация от защитни стени и рутери. В повечето случаи DMZ ще бъде създаден от устройство за защита на ръба (обикновено защитна стена), което след това се архивира от друг рутер или защитна стена, охраняваща портите към вътрешната мрежа.

Докато повечето организации вече не се нуждаят от DMZ, за да се защитят от външния свят, концепцията за отделяне на ценни цифрови продукти от останалата част от вашата мрежа все още е мощна стратегия за сигурност. Ако прилагате механизма DMZ на изцяло вътрешна основа, тогава все още има случаи на използване, които имат смисъл. Един пример е защита на достъпа до ценни хранилища на данни, списъци за контрол на достъпа или подобни съкровищни ​​пътеки; ще искате всички потенциални неоторизирани потребители да прескачат възможно най-много допълнителни обръчи, преди да получат достъп.

Как работи DMZ

DMZ работи така: Ще има крайна защитна стена, която е изправена пред ужасите на отворения интернет. След това ще бъде DMZ и друга защитна стена, която защитава локалната мрежа на вашата компания (LAN). Зад тази защитна стена ще стои вашата вътрешна мрежа. Чрез добавяне на тази допълнителна междуредова мрежа можете да внедрите допълнителни слоеве за защита, които злонамерените елементи ще трябва да победят, преди да успеят да стигнат до реалната ви вътрешна мрежа - където по всяка вероятност всичко също се покрива не само от контроли за достъп до мрежата, но и от комплекти за защита на крайните точки.

Между първата защитна стена и втората обикновено ще намерите превключвател, който осигурява мрежова връзка със сървърите и устройствата, които трябва да са достъпни в интернет. Превключвателят осигурява връзка и с втората защитна стена.

Първата защитна стена трябва да бъде конфигурирана така, че да позволява само трафик, който трябва да достигне до вашата вътрешна LAN и сървърите в DMZ. Вътрешната защитна стена трябва да позволява трафик само през конкретни портове, които са необходими за работата на вашата вътрешна мрежа.

В DMZ трябва да конфигурирате вашите сървъри да приемат трафик само на определени портове и да приемат само конкретни протоколи. Например, ще искате да ограничите трафика на порт 80 само до HyperText Transfer Protocol (HTTP). Също така ще искате да конфигурирате тези сървъри така, че да изпълняват само услугите, необходими за тях. Можете също така да искате да имате активна система за наблюдение на проникване на проникване (IDS) на сървърите във вашия DMZ, така че атака на злонамерен софтуер, която я прави през защитната стена, да бъде открита и спряна.

Вътрешната защитна стена трябва да бъде защитна стена от ново поколение (NGFW), която извършва проверки на вашия трафик, който преминава през отворените портове във вашата защитна стена, а също така търси индикации за посегателства или злонамерен софтуер. Това е защитната стена, която защитава бижутата с короната на вашата мрежа, така че не е мястото да се съкращавате. Създателите на NGFW включват Barracude, Check Point, Cisco, Fortinet, Juniper и Palo Alto.

Ethernet портове като DMZ портове

За по-малките организации има друг по-малко скъп подход, който все още ще предлага DMZ. Много маршрутизатори за домашни и малки фирми включват функция, която ви позволява да определите един от Ethernet портовете като порт DMZ. Това ви позволява да поставите устройство като уеб сървър на този порт, където той може да споделя вашия IP адрес, но също така да е достъпен за външния свят. Излишно е да казвам, че този сървър трябва да е възможно най-заключен и да има само абсолютно необходими услуги. За да разгънете сегмента си, можете да прикачите отделен превключвател към този порт и да разполагате с повече от едно устройство в DMZ.

Недостатъкът при използването на такъв предназначен DMZ порт е, че имате само една точка на повреда. Въпреки че повечето от тези рутери включват и вградена защитна стена, те обикновено не включват пълния набор от функции на NGFW. Освен това, ако маршрутизаторът е нарушен, такава е и вашата мрежа.

Докато DMZ базиран на рутер работи, той вероятно не е толкова сигурен, колкото искате да бъде. Най-малкото можете да помислите за добавяне на втора защитна стена зад нея. Това ще струва малко повече, но няма да струва почти толкова, колкото ще наруши данните. Другото основно последствие при такава настройка е, че е по-сложно да се администрира и като се има предвид, че по-малките компании, които биха могли да използват този подход, обикновено нямат ИТ персонал, може да искате да наемете консултант, който да го настрои и след това да управлявате от време на време.

Изискване за DMZ

• Най-добрите VPN услуги за 2019 г. Най-добрите VPN услуги за 2019 г.
• Най-добрият хостван софтуер за защита и защита на крайната точка за 2019 г. Най-добрият софтуер за защита и защита на крайните точки за 2019 г.
• Най-добрият софтуер за мрежов мониторинг за 2019 г. Най-добрият софтуер за мрежов мониторинг за 2019 г.

Както споменахме по-рано, няма да намерите твърде много DMZ, който все още работи в природата. Причината е, че DMZ е имал за цел да запълни функция, която днес се обработва в облака за по-голямата част от бизнес функциите. Всяко приложение на SaaS, което разгръщате, и всеки сървър, на който сте домакин, преместват външна инфраструктура от центъра за данни и в облака, а DMZ са преминали за пътуване. Това означава, че можете да изберете облачна услуга, да стартирате екземпляр, който включва уеб сървър, и да защитите този сървър с защитната стена на доставчика на облак и сте готови. Няма нужда да добавяте отделно конфигуриран мрежов сегмент към вашата вътрешна мрежа, тъй като така или иначе всичко се случва на друго място. Освен това онези други функции, които бихте могли да използвате с DMZ, също са достъпни в облака и ако тръгнете по този начин, ще бъдете още по-сигурни.

Все пак като обща тактика на сигурността това е напълно жизнеспособна мярка. Създаването на мрежов сегмент в стил DMZ зад вашата защитна стена носи същите предимства като преди, когато сте използвали да пробиете един между вашата локална мрежа и интернет: друг сегмент означава повече защита, която можете да принудите лошите да проникнат, преди да успеят да стигнат до какво наистина искат. И колкото повече трябва да работят, толкова по-дълго вие или вашата система за откриване и реакция на заплахи трябва да ги забележите и да реагирате.