Obsah:
Video: Rauf & Faik - я люблю тебя давно (Official Audio) (November 2024)
Najlepším príkladom demilitarizovanej zóny (DMZ) je dnes silne strážený pás pevniny v Kórei. Je to oblasť na oboch stranách hranice medzi Severnou Kóreou a Južnou Kóreou, ktorá má zabrániť tomu, aby každý národ náhodne začal vojnu s druhou. V oblasti výpočtovej techniky je koncepcia DMZ podobná tým, že poskytuje miesto, ktoré udržuje nedôveryhodný svet internetu mimo vnútornej siete vašej organizácie a zároveň ponúka služby vonkajšiemu svetu. Akákoľvek profesionálna budova v oblasti IT, ktorá tvorí takmer akýkoľvek druh siete pripojenej na internet, po dlhú dobu samozrejme spája DMZ. Ale to všetko sa zmenilo.
Podnikové dodatočné bezpečnostné opatrenia prijaté v roku 2017
Ak máte DMZ stále v prevádzke, zistíte, že ide o typický príklad segmentácie siete. Pozrite sa pozorne a zvyčajne nájdete kombináciu brán firewall a smerovačov. Vo väčšine prípadov bude DMZ tvorené okrajovým zabezpečovacím zariadením (zvyčajne bránou firewall), ktoré potom zálohuje iný smerovač alebo brána firewall strážiaca brány do vnútornej siete.
Zatiaľ čo väčšina organizácií už nepotrebuje DMZ, aby sa chránila pred vonkajším svetom, koncept oddelenia cenných digitálnych dobrôt od zvyšku vašej siete je stále silnou bezpečnostnou stratégiou. Ak použijete mechanizmus DMZ úplne interne, stále existujú prípady použitia, ktoré dávajú zmysel. Jedným príkladom je ochrana prístupu k cenným obchodom s údajmi, zoznamom kontroly prístupu alebo podobným pokladom; budete chcieť, aby potenciálni neautorizovaní používatelia preskočili čo najviac ďalších obručí, ako získajú prístup.
Ako funguje DMZ
DMZ funguje takto: Bude existovať okrajový firewall, ktorý bude čeliť hororom otvoreného internetu. Potom bude DMZ a ďalší firewall, ktorý chráni lokálnu sieť vašej spoločnosti (LAN). Za týmto firewallom bude vaša interná sieť. Pridaním tejto dodatočnej medzisieťovej siete môžete implementovať ďalšie bezpečnostné vrstvy, ktoré budú musieť poraziť malcontents predtým, ako sa môžu dostať do vašej skutočnej vnútornej siete - kde je všetko pravdepodobne pokryté nielen kontrolami prístupu k sieti, ale aj súbormi ochrany koncových bodov.
Medzi prvým a druhým firewallom zvyčajne nájdete prepínač, ktorý poskytuje sieťové pripojenie k serverom a zariadeniam, ktoré musia byť dostupné na internete. Prepínač tiež poskytuje pripojenie k druhému firewallu.
Prvý firewall by mal byť nakonfigurovaný tak, aby umožňoval iba prenos, ktorý potrebuje dosiahnuť internú LAN a servery DMZ. Interný firewall by mal umožňovať prenos iba cez špecifické porty, ktoré sú potrebné na fungovanie vašej vnútornej siete.
V DMZ by ste mali nakonfigurovať svoje servery tak, aby akceptovali iba prenos na konkrétnych portoch a akceptovali iba špecifické protokoly. Napríklad budete chcieť obmedziť prenos na porte 80 iba na protokol HTTP (HyperText Transfer Protocol). Tieto servery budete tiež chcieť nakonfigurovať tak, aby spúšťali iba služby potrebné na fungovanie. Možno budete tiež chcieť mať na serveroch v DMZ monitorovaciu aktivitu systému detekcie narušenia (IDS), aby bolo možné detegovať a zastaviť útoky škodlivého softvéru cez bránu firewall.
Interný firewall by mal byť firewall novej generácie (NGFW), ktorý vykonáva kontroly vašej prevádzky, ktorá prechádza cez otvorené porty vo vašej bráne firewall a tiež hľadá náznaky narušenia alebo škodlivého softvéru. Toto je brána firewall, ktorá chráni korunovačné klenoty vašej siete, takže nie je miestom na preskočenie. Medzi výrobcov NGFW patria okrem iného Barracude, Check Point, Cisco, Fortinet, Juniper a Palo Alto.
Ethernetové porty ako porty DMZ
Pre menšie organizácie existuje ešte lacnejší prístup, ktorý bude stále poskytovať DMZ. Mnoho smerovačov pre domácnosti a malé firmy obsahuje funkciu, ktorá vám umožňuje označiť jeden z portov Ethernet ako port DMZ. To vám umožní umiestniť zariadenie, ako je webový server, na port, kde môže zdieľať vašu IP adresu, ale byť k dispozícii aj pre vonkajší svet. Netreba dodávať, že tento server by mal byť čo najviac zablokovaný a mali by byť spustené iba absolútne nevyhnutné služby. Na dokončenie segmentu môžete k tomuto portu pripojiť samostatný prepínač a mať v DMZ viac ako jedno zariadenie.
Nevýhodou použitia takého určeného portu DMZ je to, že máte iba jeden bod zlyhania. Aj keď väčšina z týchto smerovačov obsahuje aj zabudovaný firewall, zvyčajne neobsahujú úplnú sadu funkcií NGFW. Okrem toho, ak je smerovač narušený, potom je to aj vaša sieť.
Aj keď DMZ založené na smerovačoch funguje, pravdepodobne to nie je také bezpečné, ako chcete. Prinajmenšom by ste mali zvážiť pridanie druhého firewallu. To bude stáť trochu navyše, ale nebude to stáť skoro toľko, ako by to spôsobilo porušenie údajov. Ďalším hlavným dôsledkom takéhoto nastavenia je to, že je zložitejšie spravovať a vzhľadom na to, že menšie spoločnosti, ktoré by mohli používať tento prístup, spravidla nemajú zamestnancov IT, možno budete chcieť zapojiť konzultanta, ktorý to nastaví a potom spravuje. čas od času.
Requiem pre DMZ
- Najlepšie VPN služby pre rok 2019 Najlepšie VPN služby pre rok 2019
- Najlepší hostovaný softvér na ochranu koncových bodov a zabezpečenie za rok 2019 Najlepší hostovaný softvér na ochranu koncových bodov a zabezpečenie za rok 2019
- Najlepšie softvér pre monitorovanie siete pre rok 2019 Najlepšie softvér pre monitorovanie siete pre rok 2019
Ako už bolo spomenuté, nenájdete príliš veľa DMZ stále bežiacich vo voľnej prírode. Dôvodom je to, že cieľom DMZ bolo plniť funkciu, ktorá sa dnes v cloude rieši pre veľkú väčšinu obchodných funkcií. Každá SaaS aplikácia, ktorú nasadíte, a každý server, ktorý hosťujete, sa sťahujú z vášho dátového centra a do cloudu z vonkajšej strany do infraštruktúry a DMZ sa vydali na cestu. To znamená, že si môžete vybrať cloudovú službu, spustiť inštanciu zahŕňajúcu webový server a chrániť tento server pomocou brány firewall poskytovateľa cloudu a ste nastavený. Do internej siete nie je potrebné pridať osobitne nakonfigurovaný segment siete, pretože všetko sa tak deje kdekoľvek. Navyše, tie ďalšie funkcie, ktoré môžete používať s DMZ, sú k dispozícii aj v cloude, a tým pádom budete ešte bezpečnejší.
Napriek tomu je to ako všeobecná bezpečnostná taktika úplne realizovateľné opatrenie. Vytvorenie segmentu siete v štýle DMZ za bránou firewall prináša rovnaké výhody ako v prípade, keď ste zvykli zhadzovať jeden medzi vašou sieťou LAN a internetom: ďalší segment znamená väčšiu ochranu, ktorú môžete donútiť zbabelcami, aby museli preniknúť skôr, ako sa dostanú k čo skutočne chcú. A čím viac musia pracovať, tým dlhšie ich musíte vy a váš systém na odhaľovanie a reagovanie na hrozby odhaliť a reagovať.