В компьютерной безопасности DMZ (иногда называемая сетью по периметру) - это физическая или логическая подсеть, которая содержит и предоставляет внешние сервисы организации более крупной ненадежной сети, обычно Интернету. Цель DMZ - добавить дополнительный уровень безопасности в локальную сеть (LAN) организации; внешний злоумышленник имеет доступ только к оборудованию в демилитаризованной зоне, а не к любой другой части сети. Название происходит от термина «демилитаризованная зона» - зоны между национальными государствами, в которой военные действия не разрешены.
Обычно в вашей сети есть брандмауэр и демилитаризованная зона (DMZ), но многие люди, даже ИТ-специалисты, не понимают почему, за исключением некоторого смутного представления о полубезопасности.
Большинство предприятий, которые размещают свои собственные серверы, используют свои сети с демилитаризованной зоной, расположенной по периметру их сети, обычно работая на отдельном межсетевом экране в качестве частично доверенной области для систем, которые взаимодействуют с внешним миром.
Почему существуют такие зоны и какие системы или данные должны быть в них?
Для поддержания реальной безопасности важно четко понимать цель DMZ.
Большинство брандмауэров - это устройства безопасности сетевого уровня, обычно это устройство или устройство в сочетании с сетевым оборудованием. Они предназначены для предоставления детальных средств контроля доступа в ключевой точке бизнес-сети. DMZ - это область вашей сети, которая отделена от вашей внутренней сети и Интернета, но подключена к обоим.
DMZ предназначена для размещения систем, которые должны быть доступны в Интернете, но другими способами, чем ваша внутренняя сеть. Степень доступности Интернета на сетевом уровне контролируется межсетевым экраном. Степень доступности Интернета на уровне приложений контролируется программным обеспечением, на самом деле комбинацией веб-сервера, операционной системы, пользовательского приложения и часто программного обеспечения базы данных.
DMZ обычно разрешает ограниченный доступ из Интернета и из внутренней сети. Внутренние пользователи обычно должны получать доступ к системам в демилитаризованной зоне для обновления информации или использования данных, собранных или обработанных там. ДМЗ предназначена для обеспечения общего доступа к информации через Интернет, но ограниченными способами. Но поскольку существует доступ к Интернету и миру изобретательных людей, существует постоянный риск того, что эти системы могут быть скомпрометированы.
Влияние компрометации двоякое: во-первых, информация о незащищенных системах может быть потеряна (т. Е. Скопирована, уничтожена или повреждена), а во-вторых, сама система может использоваться в качестве платформы для дальнейших атак на уязвимые внутренние системы.
Чтобы уменьшить первый риск, DMZ должна разрешать доступ только через ограниченные протоколы (например, HTTP для обычного доступа в Интернет и HTTPS для зашифрованного доступа в Интернет). Затем необходимо тщательно настроить сами системы, чтобы обеспечить защиту с помощью разрешений, механизмов аутентификации, тщательного программирования, а иногда и шифрования.
Подумайте, какую информацию будет собирать и хранить ваш веб-сайт или приложение. Это то, что может быть потеряно, если системы будут скомпрометированы посредством обычных веб-атак, таких как SQL-инъекция, переполнение буфера или неправильные разрешения.
Чтобы уменьшить второй риск, системам DMZ не следует доверять системы, расположенные более глубоко во внутренней сети. Другими словами, системы DMZ не должны ничего знать о внутренних системах, хотя некоторые внутренние системы могут знать о системах DMZ. Кроме того, средства управления доступом DMZ не должны позволять системам DMZ инициировать какие-либо подключения дальше в сеть. Вместо этого любой контакт с системами DMZ должен инициироваться внутренними системами. Если система DMZ скомпрометирована как платформа атаки, единственными видимыми ей системами должны быть другие системы DMZ.
Крайне важно, чтобы ИТ-менеджеры и владельцы бизнеса понимали типы повреждений, возможных для систем, открытых в Интернете, а также механизмы и методы защиты, такие как DMZ. Владельцы и менеджеры могут принимать информированные решения о том, какие риски они готовы принять, только когда они твердо понимают, насколько эффективно их инструменты и процессы снижают эти риски.
3 минуты на чтение
