DMZ мертв? не совсем

Лучший пример демилитаризованной зоны (DMZ) сегодня - это сильно охраняемая полоса земли в Корее. Это район по обе стороны границы между Северной Кореей и Южной Кореей, который призван удержать каждую страну от случайного начала войны с другой. В области вычислений DMZ схожа по своей концепции в том, что она обеспечивает место, которое удерживает ненадежный мир Интернета от внутренней сети вашей организации, в то же время предлагая услуги внешнему миру. В течение долгого времени любой специалист в области ИТ, строящий практически любую сеть, подключенную к Интернету, собирал DMZ как само собой разумеющееся. Но облако изменило все это.

Причина в том, что облако избавило большинство компаний от необходимости размещать свои собственные веб-серверы. В свое время, если у вас был собственный веб-сервер, открытый для общественности, вы бы хотели, чтобы этот сервер находился в вашей DMZ. Точно так же вы хотели бы, чтобы ваш почтовый сервер находился там, и любые другие внешние серверы, такие как шлюз удаленного доступа, сервер аутентификации, прокси-сервер или, возможно, даже сервер Telnet. Это все устройства, которые должны быть доступны через Интернет, но которые предоставляют услуги вашей организации. Сегодня, конечно, большинство компаний используют хост-провайдеров электронной почты наряду с развертыванием приложений Software-as-a-Service (SaaS), которые делают ненужным размещение внешних веб-серверов в вашем шкафу данных.

Предприятие дополнительные меры безопасности приняты 2017

Если вы все еще используете DMZ, то вы увидите, что это типичный пример сегментации сети. Посмотрите внимательно, и вы, как правило, найдете некоторую комбинацию межсетевых экранов и маршрутизаторов. В большинстве случаев DMZ будет создаваться пограничным устройством безопасности (обычно брандмауэром), которое затем резервируется другим маршрутизатором или брандмауэром, охраняющим шлюзы во внутренней сети.

Хотя большинству организаций больше не нужна DMZ для защиты от внешнего мира, концепция отделения ценных цифровых полезностей от остальной части вашей сети по-прежнему является мощной стратегией безопасности. Если вы применяете механизм DMZ исключительно на внутренней основе, то все же есть варианты использования, которые имеют смысл. Одним из примеров является защита доступа к хранилищам ценных данных, спискам контроля доступа или подобным кладам; Вы хотите, чтобы любые потенциальные неавторизованные пользователи перепрыгнули через как можно больше дополнительных обручей, прежде чем они получат доступ.

Как работает DMZ

DMZ работает следующим образом: будет пограничный межсетевой экран, который сталкивается с ужасами открытого Интернета. После этого появится DMZ и еще один межсетевой экран, защищающий локальную сеть вашей компании (LAN). За этим брандмауэром будет ваша внутренняя сеть. Добавив эту дополнительную промежуточную сеть, вы можете реализовать дополнительные уровни безопасности, которые недобросовестным пользователям необходимо будет преодолеть, прежде чем они попадут в вашу фактическую внутреннюю сеть, где, по-видимому, все также покрывается не только средствами контроля доступа к сети, но и комплектами защиты конечных точек.

Между первым межсетевым экраном и вторым обычно находится коммутатор, который обеспечивает сетевое подключение к серверам и устройствам, которые должны быть доступны в Интернете. Коммутатор также обеспечивает соединение со вторым межсетевым экраном.

Первый брандмауэр должен быть настроен так, чтобы пропускать только трафик, который должен попасть во внутреннюю локальную сеть и на серверы в демилитаризованной зоне. Внутренний брандмауэр должен пропускать трафик только через определенные порты, которые необходимы для работы вашей внутренней сети.

В DMZ вы должны настроить свои серверы так, чтобы они принимали трафик только на определенных портах и ​​принимали только определенные протоколы. Например, вы хотите ограничить трафик на порту 80 только для протокола передачи гипертекста (HTTP). Вы также захотите настроить эти серверы так, чтобы они запускали только те службы, которые необходимы для их работы. Возможно, вы также захотите иметь мониторинг активности системы обнаружения вторжений (IDS) на серверах в вашей демилитаризованной зоне, чтобы атака вредоносного ПО, проходящая через брандмауэр, могла быть обнаружена и остановлена.

Внутренний брандмауэр должен быть брандмауэром следующего поколения (NGFW), который выполняет проверку вашего трафика, который проходит через открытые порты вашего брандмауэра, а также ищет признаки вторжений или вредоносных программ. Это брандмауэр, который защищает драгоценности короны вашей сети, поэтому не стоит экономить. Производителями NGFW являются Barracude, Check Point, Cisco, Fortinet, Juniper и Palo Alto и другие.

Порты Ethernet как порты DMZ

Для небольших организаций есть еще один менее затратный подход, который все же обеспечит создание DMZ. Многие маршрутизаторы для дома и малого бизнеса имеют функцию, позволяющую назначить один из портов Ethernet в качестве порта DMZ. Это позволяет вам подключить такое устройство, как веб-сервер, к тому порту, где оно может использовать ваш IP-адрес, но также быть доступным для внешнего мира. Излишне говорить, что этот сервер должен быть максимально заблокирован и иметь только абсолютно необходимые службы. Чтобы конкретизировать свой сегмент, вы можете подключить к этому порту отдельный коммутатор и иметь более одного устройства в DMZ.

Недостатком использования такого назначенного порта DMZ является то, что у вас есть только одна точка отказа. Несмотря на то, что большинство этих маршрутизаторов также имеют встроенный межсетевой экран, они обычно не включают полный набор функций NGFW. Кроме того, если маршрутизатор нарушен, то и ваша сеть.

Хотя DMZ на основе маршрутизатора работает, он, вероятно, не так безопасен, как вы того хотите. По крайней мере, вы можете рассмотреть возможность добавления второго брандмауэра за ним. Это будет стоить немного больше, но не так дорого, как утечка данных. Другим важным следствием такой настройки является более сложное администрирование, и, учитывая, что в небольших компаниях, которые могут использовать этот подход, обычно нет ИТ-персонала, вы можете нанять консультанта для его настройки и управления это время от времени.

Реквием по ДМЗ

• Лучшие VPN-сервисы на 2019 год Лучшие VPN-сервисы на 2019 год
• Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год Лучшее программное обеспечение для защиты конечных точек и безопасности на 2019 год
• Лучшее программное обеспечение для мониторинга сети на 2019 год Лучшее программное обеспечение для мониторинга сети на 2019 год

Как упоминалось ранее, вы не найдете слишком много DMZ, все еще работающих в дикой природе. Причина в том, что DMZ предназначалась для выполнения функции, которая сегодня обрабатывается в облаке для подавляющего большинства бизнес-функций. Каждое приложение SaaS, которое вы развертываете, и каждый сервер, на котором вы размещаете, перемещают внешнюю инфраструктуру из вашего центра обработки данных в облако, и DMZ готовятся к поездке. Это означает, что вы можете выбрать облачную службу, запустить экземпляр с веб-сервером и защитить этот сервер с помощью брандмауэра облачного провайдера, и все готово. Нет необходимости добавлять отдельно настроенный сегмент сети во внутреннюю сеть, так как все происходит в любом месте. Кроме того, те другие функции, которые вы можете использовать с DMZ, также доступны в облаке, и в этом случае вы будете еще безопаснее.

Тем не менее, как общая тактика безопасности, это вполне жизнеспособная мера. Создание сегмента сети в стиле DMZ за вашим брандмауэром дает те же преимущества, что и при использовании одного соединения между вашей локальной сетью и Интернетом: другой сегмент означает больше защиты, которую вы можете заставить проникнуть злоумышленникам, прежде чем они смогут добраться до что они действительно хотят. И чем больше они должны работать, тем дольше вы или ваша система обнаружения и реагирования на угрозы должны обнаруживать их и реагировать.