Pochopenie DMZ - demilitarizovaná zóna

V oblasti počítačovej bezpečnosti je DMZ (niekedy označovaná ako obvodová sieť) fyzická alebo logická podsieť, ktorá obsahuje a vystavuje externé služby organizácie na väčšiu nedôveryhodnú sieť, zvyčajne na internete. Účelom DMZ je pridať ďalšiu vrstvu zabezpečenia do miestnej počítačovej siete (LAN) organizácie; externý útočník má prístup iba k zariadeniu v DMZ a nie k akejkoľvek inej časti siete. Názov je odvodený od výrazu „demilitarizovaná zóna“, čo je oblasť medzi národnými štátmi, v ktorej nie sú povolené vojenské akcie.

Je bežnou praxou, že máte vo svojej sieti bránu firewall a demilitarizovanú zónu (DMZ), ale veľa ľudí, dokonca ani IT profesionálov, nerozumie prečo, okrem nejakej nejasnej predstavy o polovičnej bezpečnosti.

Väčšina firiem, ktoré hostia svoje vlastné servery, prevádzkuje svoje siete s DMZ umiestneným na okraji ich siete, zvyčajne fungujúcim na samostatnom firewalle ako polodôveryhodnej oblasti pre systémy prepojené s vonkajším svetom.

Prečo existujú také zóny a aké systémy alebo dáta by v nich mali byť?

Pre zachovanie skutočnej bezpečnosti je dôležité jasne pochopiť účel DMZ.

Väčšina brán firewall sú bezpečnostné zariadenia na úrovni siete, zvyčajne ide o zariadenie v kombinácii so sieťovým zariadením. Sú určené na poskytnutie granulárnych prostriedkov kontroly prístupu v kľúčovom bode obchodnej siete. DMZ je oblasť vašej siete, ktorá je oddelená od internej siete a Internetu, ale je pripojená k obom.

DMZ je určený na hostenie systémov, ktoré musia byť prístupné na internete, ale inými spôsobmi ako vo vašej internej sieti. Stupeň dostupnosti pre internet na úrovni siete riadi brána firewall. Stupeň dostupnosti pre internet na aplikačnej úrovni je riadený softvérom, ktorý je skutočne kombináciou webového servera, operačného systému, vlastnej aplikácie a často aj databázového softvéru.

DMZ zvyčajne umožňuje obmedzený prístup z Internetu a z internej siete. Interní používatelia musia zvyčajne pristupovať do systémov v rámci DMZ, aby mohli aktualizovať informácie alebo používať údaje, ktoré sa tam zhromažďujú alebo spracovávajú. Cieľom DMZ je umožniť verejnosti prístup k informáciám prostredníctvom Internetu, ale obmedzeným spôsobom. Pretože však existuje internet a svet dômyselných ľudí, existuje stále riziko, že tieto systémy môžu byť ohrozené.

Dopad kompromisu je dvojaký: po prvé, informácie o exponovaných systémoch môžu byť stratené (t. J. Kopírované, zničené alebo poškodené) a po druhé, samotný systém môže byť použitý ako platforma pre ďalšie útoky na citlivé interné systémy.

Na zmiernenie prvého rizika by malo DMZ umožniť prístup iba prostredníctvom obmedzených protokolov (napr. HTTP pre normálny prístup na web a HTTPS pre šifrovaný prístup na web). Samotné systémy potom musia byť nakonfigurované opatrne, aby poskytovali ochranu prostredníctvom povolení, mechanizmov autentifikácie, starostlivého programovania a niekedy aj šifrovania.

Popremýšľajte, aké informácie bude váš web alebo aplikácia zhromažďovať a ukladať. To je to, čo sa môže stratiť, ak sú systémy napadnuté bežnými webovými útokmi, ako je vstrekovanie SQL, pretečenie vyrovnávacej pamäte alebo nesprávne povolenia.

Na zmiernenie druhého rizika by systémom DMZ nemali dôverovať systémy hlbšie vo vnútornej sieti. Inými slovami, systémy DMZ by nemali vedieť nič o interných systémoch, aj keď niektoré interné systémy môžu vedieť o systémoch DMZ. Riadenie prístupu DMZ by navyše nemalo umožniť systémom DMZ iniciovať akékoľvek pripojenie ďalej do siete. Namiesto toho by akýkoľvek kontakt so systémami DMZ mal byť iniciovaný internými systémami. Ak je systém DMZ napadnutý ako útočná platforma, jedinými viditeľnými systémami by mali byť iné systémy DMZ.

Je veľmi dôležité, aby manažéri IT a vlastníci firiem porozumeli možným škodám na systémoch vystavených na internete, ako aj mechanizmom a metódam ochrany, napríklad DMZ. Vlastníci a manažéri môžu prijímať informované rozhodnutia o tom, aké riziká sú ochotní podstúpiť, až keď budú mať pevné pochopenie toho, ako efektívne ich nástroje a procesy tieto riziká znižujú.