האם ה- dmz מת? לא בדיוק

הדוגמה הטובה ביותר לאזור מפורז (DMZ) כיום היא רצועת אדמה שמורה בכבדות בקוריאה. זה האזור משני צדי הגבול בין קוריאה הצפונית לדרום קוריאה שנועד למנוע מכל מדינה לפתוח בטעות מלחמה עם השנייה. בתחום המחשוב, DMZ דומה במושג בכך שהוא מספק מקום שמרחיק את העולם הבלתי מהימן של האינטרנט מהרשת הפנימית של הארגון שלך, תוך שהוא מציע שירותים לעולם החיצון. במשך תקופה ארוכה, כל מומחה IT שבונה כמעט כל סוג של רשת המחוברת לאינטרנט מרכיב DMZ כעניין של כמובן. אבל הענן שינה את כל זה.

הסיבה היא שהענן ביטל את הצורך של מרבית החברות לארח שרתי אינטרנט משלהם. שוב ביום, אם היה לך שרת אינטרנט פנימי שהיה פתוח לציבור, היית רוצה ששרת זה יחיה ב- DMZ שלך. באופן דומה, היית רוצה ששרת הדואר האלקטרוני שלך שם, וכל שאר השרתים הפונים כלפי חוץ, כמו שער הגישה המרוחק שלך, שרת אימות, שרת פרוקסי, או אולי אפילו שרת Telnet. כל אלה הם מכשירים שחייבים להיות נגישים מהאינטרנט אך מספקים שירותים מהארגון שלך. כיום, כמובן, רוב החברות משתמשות בספקי דוא"ל מתארחים יחד עם פריסת יישומי תוכנה כשירות (SaaS) שהופכים דיור לשרתי אינטרנט הפונים חיצונית בארון הנתונים שלך למיותר.

אמצעי אבטחה נוספים ארגוניים שננקטו 2017

אם עדיין יש לך DMZ בפעולה, תגלה שזו דוגמא טיפוסית לפילוח רשת. התבונן מקרוב ובדרך כלל תמצא שילוב כלשהו של חומות אש ונתבים. ברוב המקרים, ה- DMZ ייווצר על ידי התקן אבטחה קצה (בדרך כלל חומת אש) אשר מגובה אז על ידי נתב או חומת אש אחרת השומרים על השערים לרשת הפנימית.

בעוד שרוב הארגונים כבר לא זקוקים ל- DMZ כדי להגן על עצמם מהעולם החיצון, הרעיון של הפרדת מנות דיגיטליות יקרות ערך משאר הרשת שלך הוא עדיין אסטרטגיית אבטחה רבת עוצמה. אם אתה מיישם את מנגנון ה- DMZ על בסיס פנימי לחלוטין, עדיין יש מקרי שימוש הגיוניים. דוגמה אחת היא הגנה על גישה לחנויות נתונים יקרות ערך, רשימות לבקרת גישה או אוצרות דומים. תרצה שמשתמשים בלתי מורשים פוטנציאליים יקפצו דרך כמה שיותר חישוקים נוספים לפני שהם יקבלו גישה.

איך עובד DMZ

DMZ עובד ככה: תהיה חומת אש קצה העומדת בפני זוועות האינטרנט הפתוח. אחרי זה יהיו ה- DMZ וחומת אש נוספת המגינה על הרשת המקומית של החברה שלך (LAN). מאחורי חומת האש ההיא תעמוד הרשת הפנימית שלך. על ידי הוספת רשת נוספת זו שבין לבין, אתה יכול ליישם שכבות אבטחה נוספות, שיבואו על ידי מבעלי התמיכה האחרונים להביס לפני שיוכלו להגיע לרשת הפנימית שלך בפועל - שם ככל הנראה הכל מכוסה לא רק על ידי בקרות גישה לרשת אלא גם סוויטות הגנה על נקודות קצה.

בין חומת האש הראשונה לשנייה, בדרך כלל תמצא מתג המספק חיבור רשת לשרתים ולמכשירים שצריכים להיות זמינים לאינטרנט. המתג מספק גם חיבור לחומת האש השנייה.

יש להגדיר את חומת האש הראשונה שתאפשר רק תנועה שצריכה להגיע לרשת LAN הפנימית שלך ולשרתים ב- DMZ. חומת האש הפנימית צריכה לאפשר תנועה רק דרך יציאות ספציפיות הנחוצות להפעלת הרשת הפנימית שלך.

ב- DMZ, עליך להגדיר את השרתים שלך לקבל רק תנועה ביציאות ספציפיות ולקבל רק פרוטוקולים ספציפיים. לדוגמה, תרצה להגביל את התנועה ביציאה 80 לפרוטוקול העברת HyperText בלבד (HTTP). כמו כן, ברצונך לקבוע את התצורה של שרתים אלה כך שהם ינהלו רק את השירותים הדרושים כדי שהם יפעלו. יתכן שתרצה שתהיה מערכת זיהוי חדירה (IDS) לפקח על הפעילות בשרתים ב- DMZ שלך כך שתוכל לאתר איתור ולהפסיק התקפת תוכנה זדונית שעושה אותה דרך חומת האש.

חומת האש הפנימית צריכה להיות חומת אש מהדור הבא (NGFW) שמבצעת בדיקות של התנועה שלך שעוברת דרך היציאות הפתוחות בחומת האש שלך ומחפשת גם אינדיקציות לפריצות או לתוכנות זדוניות. זוהי חומת האש שמגנה על תכשיטי הכתר של הרשת שלך כך שזה לא המקום לדלג עליהם. יצרני חברות NGFW כוללות בין היתר את Barracude, צ'ק פוינט, סיסקו, פורטינט, ג'וניפר, ופאלו אלטו.

יציאות אתרנט כמו יציאות DMZ

עבור ארגונים קטנים יותר, יש גישה אחרת פחות יקרה שתמשיך לספק DMZ. נתבים ביתיים וקטנים רבים לעסקים כוללים פונקציה המאפשרת לייעד את אחת מיציאות Ethernet כנמל DMZ. זה מאפשר לך להציב מכשיר כמו שרת אינטרנט ביציאה זו, שם הוא יכול לשתף את כתובת ה- IP שלך, אך גם להיות זמין לעולם החיצון. למותר לציין כי שרת זה צריך להיות נעול ככל האפשר ולהפעיל רק שירותים הכרחיים לחלוטין. כדי לבטל את הקטע שלך, אתה יכול לחבר מתג נפרד ליציאה ההיא ויהיה יותר ממכשיר אחד ב- DMZ.

החיסרון בשימוש ביציאת DMZ כל כך מוגדרת הוא שיש לך רק נקודת כישלון אחת. למרות שרוב הנתבים הללו כוללים גם חומת אש משובצת, הם בדרך כלל אינם כוללים את מערך התכונות המלא של NGFW. בנוסף, אם הנתב מופר, כך גם הרשת שלך.

בעוד ש- DMZ מבוסס נתבים אכן עובד, זה כנראה לא בטוח כמו שאתה רוצה שהוא יהיה. לכל הפחות, כדאי לשקול להוסיף חומת אש שנייה מאחוריה. זה יעלה מעט נוסף אך זה לא יעלה כמעט כמו הפרת נתונים. התוצאה העיקרית הנוספת של התקנה כזו היא שמורכבת יותר לניהול, ובהתחשב בכך שלחברות הקטנות יותר שעשויות להשתמש בגישה זו בדרך כלל אין צוות IT, ייתכן שתרצה להעסיק יועץ שיקים אותו ואז ינהל אותו. מדי פעם.

רקוויאם ל- DMZ

• שירותי VPN הטובים ביותר לשנת 2019 שירותי VPN הטובים ביותר לשנת 2019
• תוכנת ההגנה וההגנה על נקודות הקצה המתארחות הטובות ביותר לשנת 2019
• תוכנת ניטור הרשת הטובה ביותר לשנת 2019 תוכנת ניטור הרשת הטובה ביותר לשנת 2019

כאמור, לא תמצאו יותר מדי DMZ שעדיין פועלים בטבע. הסיבה היא שה- DMZ נועד למלא פונקציה שכיום מטופלת בענן ברוב המוחלט של הפונקציות העסקיות. כל אפליקציית SaaS שאתה מפריש וכל שרת שאתה מארח, כולם עוברים תשתיות הפונות כלפי חוץ אל מחוץ למרכז הנתונים שלך לענן, ו- DMZ יצאו לדרך. זה אומר שאתה יכול לבחור שירות ענן, להפעיל מופע שכולל שרת אינטרנט ולהגן על שרת זה באמצעות חומת האש של ספק הענן ואתה מוגדר. אין צורך להוסיף פלח רשת מוגדר בנפרד לרשת הפנימית שלך מכיוון שהכל קורה בכל מקום אחר. בנוסף, הפונקציות האחרות בהן תוכל להשתמש עם DMZ זמינות גם הן בענן, ועל ידי כך אתה תהיה בטוח אף יותר.

ובכל זאת, כטקטיקה ביטחונית כללית, זהו אמצעי בר-קיימא לחלוטין. יצירת מקטע רשת בסגנון DMZ מאחורי חומת האש שלך מביא את אותם יתרונות כמו שהיה פעם כשהיית מעיף אחד בין ה- LAN שלך לאינטרנט: פלח אחר פירושו הגנה רבה יותר שתוכל לאלץ את הרעים לחדור פנימה לפני שהם יכולים להגיע מה שהם באמת רוצים. וככל שהם צריכים לעבוד, כך אתה או מערכת איתור והתגובה האיומים שלך תצטרך לאתר אותם ולהגיב.