Дмз мертвий? не зовсім

Найкращий приклад демілітаризованої зони (ДМЗ) на сьогодні - суто охороняється смуга землі в Кореї. Це територія по обидва боки кордону між Північною Кореєю та Південною Кореєю, яка покликана уберегти кожну націю від випадкового початку війни з іншою. Що стосується обчислень, DMZ подібний за своєю концепцією тим, що надає місце, яке не дозволяє довіряти Інтернету поза внутрішньою мережею вашої організації, при цьому все ще пропонуючи послуги для зовнішнього світу. Тривалий час будь-який ІТ-професіонал, що будує майже будь-яку мережу, підключену до Інтернету, звичайно складав DMZ. Але хмара все це змінила.

Причина в тому, що хмара позбавила потреби більшості компаній розміщувати власні веб-сервери. Якщо у вас був внутрішній веб-сервер, відкритий для громадськості, ви хочете, щоб цей сервер жив у вашому DMZ. Так само ви хотіли б, щоб ваш сервер електронної пошти там і будь-які інші сервери, спрямовані назовні, такі як ваш шлюз віддаленого доступу, сервер автентифікації, проксі-сервер або, можливо, навіть сервер Telnet. Це всі пристрої, які повинні бути доступні з Інтернету, але які надають послуги вашої організації. Сьогодні, звичайно, більшість компаній використовують розміщені провайдери електронної пошти разом із розгортанням програм Software-as-a-Service (SaaS), які роблять непотрібним розміщення веб-серверів у вашому шафі даних.

Проведення додаткових заходів безпеки підприємства у 2017 році

Якщо у вас все ще працює DMZ, то ви знайдете, що це типовий приклад сегментації мережі. Придивіться уважно, і ви зазвичай знайдете комбінацію між брандмауерами та маршрутизаторами. У більшості випадків DMZ буде створений крайовим захисним пристроєм (як правило, брандмауером), який потім підтримується іншим маршрутизатором або брандмауером, що охороняє ворота до внутрішньої мережі.

Хоча більшості організацій більше не потрібен DMZ для захисту від зовнішнього світу, концепція відокремлення цінних цифрових продуктів від решти вашої мережі все ще є потужною стратегією безпеки. Якщо ви застосовуєте механізм DMZ на повністю внутрішній основі, то все ж є випадки використання, які мають сенс. Один із прикладів - захист доступу до цінних сховищ даних, списків контролю доступу чи подібних скарбниць; ви хочете, щоб будь-які потенційні несанкціоновані користувачі перейшли через якомога більше додаткових обручів, перш ніж вони отримають доступ.

Як працює DMZ

DMZ працює так: Буде крайовий брандмауер, який стикається з жахами відкритого Інтернету. Після цього буде DMZ та ще один брандмауер, який захищає локальну мережу вашої компанії (LAN). За цим брандмауером буде ваша внутрішня мережа. Додавши цю додаткову проміжну мережу, ви можете реалізувати додаткові шари безпеки, які мали б бути неполадки, щоб перешкодити, перш ніж вони зможуть потрапити у вашу фактичну внутрішню мережу, де все, мабуть, також охоплюється не лише контролем доступу до мережі, але і наборами захисту кінцевих точок.

Між першим між брандмауером та другим, як правило, ви знайдете комутатор, який забезпечує мережеве з'єднання з серверами та пристроями, які повинні бути доступними для Інтернету. Комутатор також забезпечує з'єднання з другим брандмауером.

Перший брандмауер повинен бути налаштований так, щоб дозволити лише трафік, який повинен охоплювати вашу внутрішню локальну мережу та сервери в DMZ. Внутрішній брандмауер повинен допускати трафік лише через конкретні порти, необхідні для роботи вашої внутрішньої мережі.

У DMZ слід налаштувати ваші сервери, щоб вони приймали лише трафік на певних портах і приймали лише конкретні протоколи. Наприклад, вам потрібно буде обмежити трафік на порт 80 лише протоколом передачі HyperText Transfer (HTTP). Ви також захочете налаштувати ці сервери так, щоб вони виконували лише ті сервіси, які необхідні для їх роботи. Можливо, ви також хочете, щоб система виявлення вторгнень (IDS) контролювала активність на серверах у вашому DMZ, щоб атака зловмисного програмного забезпечення, яка пробивається через брандмауер, може бути виявлена ​​та припинена.

Внутрішній брандмауер повинен бути брандмауером нового покоління (NGFW), який здійснює перевірку вашого трафіку, який проходить через відкриті порти вашого брандмауера, а також шукає ознаки вторгнень чи зловмисних програм. Це брандмауер, який захищає коронні коштовності вашої мережі, тому не варто економити. Виробниками NGFW є, серед інших, Barracude, Check Point, Cisco, Fortinet, Juniper та Palo Alto.

Порти Ethernet як порти DMZ

Для менших організацій існує ще один менш затратний підхід, який все ще надасть DMZ. Багато маршрутизаторів домашнього та малого бізнесу містять функцію, яка дозволяє призначити один з портів Ethernet як порт DMZ. Це дозволяє розмістити такий пристрій, як веб-сервер, на тому порту, де він може ділитися вашою IP-адресою, але також бути доступним для зовнішнього світу. Потрібно сказати, що цей сервер повинен бути максимально заблокований і мати лише абсолютно необхідні сервіси. Щоб здешевити свій сегмент, ви можете приєднати до цього порту окремий комутатор і мати більше одного пристрою в DMZ.

Недоліком використання такого призначеного порту DMZ є те, що у вас є лише одна точка відмови. Хоча більшість цих маршрутизаторів також включає вбудований брандмауер, вони, як правило, не містять повний набір функцій NGFW. Крім того, якщо маршрутизатор порушений, то так це і ваша мережа.

Хоча DMZ на основі маршрутизатора працює, він, ймовірно, не такий безпечний, як ви хочете. Як мінімум, ви можете подумати про те, щоб за ним додати другий брандмауер. Це буде коштувати трохи додатково, але це не буде коштувати майже стільки, скільки буде порушення даних. Інший головний наслідок такої установки полягає в тому, що адмініструвати складніше, і, враховуючи, що менші компанії, які могли використовувати цей підхід, зазвичай не мають ІТ-персоналу, ви можете захотіти залучити консультанта, який би встановив це, а потім керував ним. час від часу.

Реквієм до ДМЗ

• Найкращі VPN-сервіси на 2019 рік. Найкращі послуги VPN на 2019 рік
• Найкраще програмне забезпечення захисту та захисту кінцевих точок на 2019 рік. Найкраще програмне забезпечення захисту та безпеки кінцевої точки на 2019 рік
• Найкраще програмне забезпечення для моніторингу мережі на 2019 рік. Найкраще програмне забезпечення для моніторингу мережі на 2019 рік

Як згадувалося раніше, ви не знайдете занадто багато DMZ, що все ще працює в дикій природі. Причина полягає в тому, що DMZ мав на меті заповнити функцію, яка сьогодні обробляється у хмарі для переважної більшості бізнес-функцій. Кожен додаток SaaS, який ви розгортаєте, і кожен сервер, на якому ви розміщуєте всю, переміщують зовнішню інфраструктуру зі свого центру обробки даних у хмару, і DMZ пішли на проїзд. Це означає, що ви можете вибрати хмарну службу, запустити екземпляр, який включає веб-сервер, і захистити цей сервер за допомогою брандмауера постачальника хмарних послуг, і ви налаштовані. Не потрібно додавати окремо налаштований сегмент мережі до вашої внутрішньої мережі, оскільки все так чи інакше відбувається в іншому місці. Крім того, ті інші функції, які ви можете використовувати з DMZ, також доступні у хмарі, і, йдучи цим шляхом, ви будете ще безпечнішими.

Проте, як загальна тактика безпеки, це цілком життєздатний захід. Створення мережевого сегмента в стилі DMZ за брандмауером приносить ті ж переваги, що і коли ви використовували для того, щоб ви стискали один між вашою локальною мережею та Інтернетом: інший сегмент означає більше захисту, ви можете змусити поганих хлопців проникнути, перш ніж вони зможуть дістатися до чого вони насправді хочуть. І чим більше їм доводиться працювати, тим довше вам чи вашій системі виявлення та реагування на загрозу потрібно їх помічати та реагувати.