DMZ mõistmine - demilitariseeritud tsoon

DMZ mõistmine - demilitariseeritud tsoon

Understanding Dmz Demilitarized Zone

Arvutiturvalisuses on DMZ (mida mõnikord nimetatakse ka perimeetrivõrguks) füüsiline või loogiline alamvõrgustik, mis sisaldab ja paljastab organisatsiooni väliseid teenuseid suuremale ebausaldusväärsele võrgule, tavaliselt Internetile. DMZ-i eesmärk on lisada täiendav turvakiht organisatsiooni kohtvõrku (LAN); välisel ründajal on juurdepääs DMZ-i seadmetele, mitte võrgu mis tahes muule osale. See nimi tuleneb terminist “demilitariseeritud tsoon” - rahvusriikide vaheline ala, kus sõjategevus ei ole lubatud.



dmz



Tavapärane on, et võrgus on tulemüür ja demilitariseeritud tsoon (DMZ), kuid paljud inimesed, isegi IT-spetsialistid, ei saa tegelikult aru, miks, välja arvatud mõni ebamäärane poolturvalisuse idee.

Enamik ettevõtteid, kes hostivad oma servereid, haldavad oma võrke DMZ-ga, mis asub nende võrgu ümbermõõdul, töötades tavaliselt eraldi tulemüüril kui pooleldi usaldusväärne piirkond välismaailmaga liidestuvate süsteemide jaoks.



Miks sellised tsoonid olemas on ja millised süsteemid või andmed neis peaksid olema?

Tõelise turvalisuse säilitamiseks on oluline selgelt mõista DMZ eesmärki.

Enamik tulemüüre on võrgutaseme turvaseadmed, tavaliselt seade või seade koos võrguseadmetega. Nende eesmärk on pakkuda üksikasjalikku juurdepääsu kontrollimise võimalust ärivõrgu võtmepunktis. DMZ on teie võrgu piirkond, mis on eraldatud teie sisevõrgust ja Internetist, kuid on ühendatud mõlemaga.

DMZ on mõeldud selliste süsteemide hostimiseks, mis peavad olema Internetile juurdepääsetavad, kuid erineval viisil kui teie sisevõrk. Interneti kättesaadavuse taset võrgu tasandil kontrollib tulemüür. Interneti kättesaadavuse taset rakenduse tasemel kontrollib tarkvara, mis on tegelikult veebiserveri, operatsioonisüsteemi, kohandatud rakenduse ja sageli andmebaasitarkvara kombinatsioon.



DMZ võimaldab tavaliselt piiratud juurdepääsu Internetist ja sisevõrgust. Sisekasutajad peavad teabe värskendamiseks või seal kogutud või töödeldud andmete kasutamiseks pääsema ligi DMZ-i süsteemidele. DMZ eesmärk on võimaldada üldsusele juurdepääsu teabele Interneti kaudu, kuid piiratud viisil. Kuid kuna on olemas kokkupuude Internetiga ja leidlike inimeste maailm, on alati olemas oht, et neid süsteeme võib kahjustada.

Kompromisside mõju on kahekordne: esiteks võib teave paljastatud süsteemi (de) kohta kaduma minna (st kopeerida, hävitada või rikutud) ja teiseks võib süsteemi ennast kasutada platvormina tundlike sisesüsteemide edasiseks rünnakuks.

Esimese riski maandamiseks peaks DMZ lubama juurdepääsu ainult piiratud protokollide kaudu (nt HTTP tavalise veebiühenduse jaoks ja HTTPS krüpteeritud veebiühenduse jaoks). Seejärel tuleb süsteemid ise hoolikalt konfigureerida, et pakkuda kaitset õiguste, autentimismehhanismide, hoolika programmeerimise ja mõnikord krüpteerimise kaudu.

Mõelge, millist teavet teie veebisait või rakendus kogub ja salvestab. See võib kaotsi minna, kui süsteemid on ohustatud tavaliste veebirünnakute kaudu, näiteks SQL-i süstimine, puhvri ülevool või valed õigused.

Teise riski maandamiseks ei tohiks sisevõrgus sügavamal asuvad süsteemid usaldada DMZ-süsteeme. Teisisõnu, DMZ-süsteemid ei tohiks sisemistest süsteemidest midagi teada, kuigi mõned sisemised süsteemid võivad DMZ-süsteemidest teada. Lisaks ei tohiks DMZ-i juurdepääsukontroll lubada DMZ-süsteemidel võrku ühendusi luua. Selle asemel peaksid igasuguse kontakti DMZ-süsteemidega algatama sisemised süsteemid. Kui ründeplatvormina ohustatakse DMZ-süsteemi, peaksid ainsad talle nähtavad süsteemid olema muud DMZ-süsteemid.

On ülioluline, et IT-juhid ja ettevõtete omanikud mõistaksid Internetis paljastatud süsteemide võimalikke kahjustusi, samuti kaitsemehhanisme ja -meetodeid, näiteks DMZ-sid. Omanikud ja juhid saavad teha teadlikke otsuseid selle kohta, milliseid riske nad on nõus vastu võtma, kui nad on kindlalt aru saanud, kui tõhusalt nende tööriistad ja protsessid neid riske maandavad.

3 minutit loetud