Понимание DMZ — Демилитаризованная Зона (Сеть DMZ)

В области компьютерной безопасности DMZ (иногда называемая сетью периметра) — это физическая или логическая подсеть, которая содержит внешние службы организации и предоставляет их большей не доверяемой сети, обычно Интернету. Цель DMZ — добавить дополнительный уровень безопасности в локальную сеть организации (LAN); внешний злоумышленник имеет доступ только к оборудованию в демилитаризованной зоне, а не к какой-либо другой части сети. Название происходит от термина «демилитаризованная зона», территория между национальными государствами, в которой военные действия запрещены.

ДМЗ

Обычной практикой является наличие брандмауэра и демилитаризованной зоны (DMZ) в вашей сети, но многие люди, даже ИТ-специалисты, не совсем понимают, почему, за исключением некоторого расплывчатого представления о полу-безопасности.

Большинство предприятий, которые размещают свои собственные серверы, управляют своими сетями с DMZ, расположенной по периметру их сети, обычно работающей на отдельном брандмауэре в качестве зоны с полужестким доверием для систем, которые взаимодействуют с внешним миром.

Почему такие зоны существуют и какие системы или данные должны быть в них?

Чтобы поддерживать реальную безопасность, важно четко понимать назначение DMZ.

Большинство брандмауэров являются устройствами безопасности сетевого уровня, обычно это устройство или устройство в сочетании с сетевым оборудованием. Они предназначены для предоставления детализированных средств контроля доступа в ключевой точке деловой сети. DMZ — это область вашей сети, которая отделена от вашей внутренней сети и Интернета, но подключена к обоим.

DMZ предназначена для размещения систем, которые должны быть доступны в Интернете, но не так, как ваша внутренняя сеть. Степень доступности Интернета на уровне сети контролируется брандмауэром. Степень доступности Интернета на уровне приложений контролируется программным обеспечением и, по сути, сочетанием веб-сервера, операционной системы, пользовательского приложения и часто программного обеспечения базы данных.

DMZ обычно разрешает ограниченный доступ из Интернета и из внутренней сети. Внутренние пользователи обычно должны получать доступ к системам в демилитаризованной зоне, чтобы обновлять информацию или использовать данные, собранные или обработанные там. DMZ предназначена для предоставления общественности доступа к информации через Интернет, но ограниченным образом. Но поскольку Интернет и мир гениальных людей подвержены риску, существует постоянный риск того, что эти системы могут быть скомпрометированы.

Влияние компромисса имеет два аспекта: во-первых, информация об уязвимых системах может быть потеряна (то есть скопирована, уничтожена или повреждена), а во-вторых, сама система может использоваться в качестве платформы для дальнейших атак на чувствительные внутренние системы.

Чтобы уменьшить первый риск, DMZ должен разрешать доступ только через ограниченные протоколы (например, HTTP для обычного веб-доступа и HTTPS для зашифрованного веб-доступа). Затем сами системы должны быть тщательно настроены для обеспечения защиты с помощью разрешений, механизмов аутентификации, тщательного программирования, а иногда и шифрования.

Подумайте, какую информацию будет собирать и хранить ваш веб-сайт или приложение. Это то, что может быть потеряно, если системы скомпрометированы с помощью обычных веб-атак, таких как SQL-инъекция, переполнение буфера или неправильные разрешения.

Чтобы уменьшить второй риск, системы DMZ не должны доверяться системам, расположенным глубже во внутренней сети. Другими словами, системы DMZ не должны ничего знать о внутренних системах, хотя некоторые внутренние системы могут знать о системах DMZ. Кроме того, средства управления доступом к DMZ не должны позволять системам DMZ устанавливать какие-либо дополнительные соединения в сети. Вместо этого любой контакт с системами DMZ должен инициироваться внутренними системами. Если система DMZ скомпрометирована как платформа для атаки, единственными видимыми ей системами должны быть другие системы DMZ.

Крайне важно, чтобы ИТ-менеджеры и владельцы бизнеса понимали типы возможных повреждений систем, подверженных воздействию Интернета, а также механизмы и методы защиты, такие как DMZ. Владельцы и менеджеры могут принимать обоснованные решения о том, какие риски они готовы принять, только когда они твердо понимают, насколько эффективно их инструменты и процессы снижают эти риски.

Ссылка на основную публикацию
Adblock
detector