บ้าน ธุรกิจ dmz ตายไปแล้วหรือ ไม่มาก

dmz ตายไปแล้วหรือ ไม่มาก

สารบัญ:

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
Anonim

ตัวอย่างที่ดีที่สุดของเขตปลอดทหารในวันนี้คือดินแดนที่ได้รับการปกป้องอย่างเข้มงวดในเกาหลี เป็นพื้นที่ที่ทั้งสองด้านของเขตแดนระหว่างเกาหลีเหนือและเกาหลีใต้ที่มีวัตถุประสงค์เพื่อให้แต่ละประเทศจากการเริ่มต้นสงครามกับคนอื่นโดยไม่ตั้งใจ ในการคำนวณ DMZ นั้นมีแนวคิดคล้ายกันในการให้สถานที่ที่ทำให้โลกที่ไม่น่าเชื่อถือของอินเทอร์เน็ตออกจากเครือข่ายภายในองค์กรของคุณในขณะที่ยังคงให้บริการกับโลกภายนอก เป็นเวลานานที่ผู้เชี่ยวชาญด้านการสร้างไอทีเกือบทุกเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตได้รวม DMZ เข้าด้วยกันเป็นหลัก แต่ระบบคลาวด์เปลี่ยนไปทั้งหมด

เหตุผลก็คือคลาวด์ได้หลีกเลี่ยงความต้องการของ บริษัท ส่วนใหญ่ในการโฮสต์เว็บเซิร์ฟเวอร์ของตัวเอง ย้อนกลับไปในวันนี้ถ้าคุณมีเว็บเซิร์ฟเวอร์ภายในที่เปิดให้บุคคลทั่วไปเข้ามาคุณก็อยากให้เซิร์ฟเวอร์นั้นอยู่ใน DMZ ของคุณ ในทำนองเดียวกันคุณต้องการให้เซิร์ฟเวอร์อีเมลของคุณอยู่ที่นั่นและเซิร์ฟเวอร์ภายนอกอื่น ๆ เช่นเกตเวย์การเข้าถึงระยะไกลของคุณเซิร์ฟเวอร์การตรวจสอบความถูกต้องพร็อกซีเซิร์ฟเวอร์หรือบางทีอาจเป็นเซิร์ฟเวอร์ Telnet นี่คืออุปกรณ์ทั้งหมดที่ต้องสามารถเข้าถึงได้จากอินเทอร์เน็ต แต่ให้บริการจากองค์กรของคุณ แน่นอนว่าทุกวันนี้ บริษัท ส่วนใหญ่ใช้ผู้ให้บริการอีเมลที่โฮสต์พร้อมกับการปรับใช้แอพพลิเคชั่น Software-as-a-Service (SaaS) ที่ทำให้เว็บเซิร์ฟเวอร์หันหน้าเข้าหาภายนอกในตู้เก็บข้อมูลของคุณโดยไม่จำเป็น

มาตรการรักษาความปลอดภัยเพิ่มเติมขององค์กรดำเนินการในปี 2560

หากคุณยังคงใช้งาน DMZ อยู่คุณจะพบว่าเป็นตัวอย่างของการแบ่งส่วนเครือข่ายโดยทั่วไป ดูอย่างใกล้ชิดและโดยทั่วไปคุณจะพบการรวมกันของไฟร์วอลล์และเราเตอร์ ในกรณีส่วนใหญ่ DMZ จะถูกสร้างขึ้นโดยอุปกรณ์รักษาความปลอดภัยที่ทันสมัย ​​(โดยปกติจะเป็นไฟร์วอลล์) ที่สำรองข้อมูลโดยเราเตอร์อื่นหรือไฟร์วอลล์ที่ป้องกันประตูไปยังเครือข่ายภายใน

ในขณะที่องค์กรส่วนใหญ่ไม่ต้องการ DMZ อีกต่อไปในการปกป้องตนเองจากโลกภายนอกแนวคิดในการแยกสินค้าดิจิทัลที่มีค่าจากส่วนที่เหลือของเครือข่ายของคุณยังคงเป็นกลยุทธ์การรักษาความปลอดภัย หากคุณใช้กลไก DMZ เป็นพื้นฐานภายในทั้งหมดก็ยังคงมีกรณีใช้ที่เหมาะสม ตัวอย่างหนึ่งคือปกป้องการเข้าถึงที่เก็บข้อมูลที่มีค่ารายการควบคุมการเข้าถึงหรือขุมทรัพย์ที่คล้ายกัน คุณจะต้องการให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถข้ามผ่านห่วงเพิ่มเติมได้มากเท่าที่จะเป็นไปได้ก่อนที่พวกเขาจะเข้าถึง

DMZ ทำงานอย่างไร

DMZ ใช้งานได้เช่นนี้: จะมีไฟร์วอลล์ขอบที่เผชิญกับความน่ากลัวของอินเทอร์เน็ตแบบเปิด หลังจากนั้นจะเป็น DMZ และไฟร์วอลล์อื่นที่ป้องกันเครือข่ายท้องถิ่นของ บริษัท คุณ (LAN) หลังไฟร์วอลล์นั้นจะเป็นเครือข่ายภายในของคุณ ด้วยการเพิ่มเครือข่ายพิเศษระหว่างนี้คุณสามารถใช้เลเยอร์ความปลอดภัยเพิ่มเติมที่ malcontents จะต้องเอาชนะก่อนที่พวกเขาจะสามารถเข้าถึงเครือข่ายภายในที่แท้จริงของคุณได้ - ซึ่งทุกสิ่งนั้นยังครอบคลุมไม่เพียง แต่การควบคุมการเข้าถึงเครือข่ายเท่านั้น

ในระหว่างไฟร์วอลล์ตัวแรกและตัวที่สองปกติแล้วคุณจะพบสวิตช์ที่ให้การเชื่อมต่อเครือข่ายกับเซิร์ฟเวอร์และอุปกรณ์ที่จำเป็นต้องมีในอินเทอร์เน็ต สวิตช์นี้ยังให้การเชื่อมต่อกับไฟร์วอลล์ตัวที่สอง

ไฟร์วอลล์แรกควรได้รับการกำหนดค่าให้อนุญาตเฉพาะทราฟฟิกที่ต้องการเข้าถึง LAN ภายในของคุณและเซิร์ฟเวอร์ใน DMZ ไฟร์วอลล์ภายในควรอนุญาตการรับส่งข้อมูลผ่านพอร์ตเฉพาะที่จำเป็นสำหรับการทำงานของเครือข่ายภายในของคุณเท่านั้น

ใน DMZ คุณควรกำหนดค่าเซิร์ฟเวอร์ของคุณให้ยอมรับเฉพาะทราฟฟิกบนพอร์ตเฉพาะและยอมรับเฉพาะโปรโตคอลที่ระบุเท่านั้น ตัวอย่างเช่นคุณจะต้องการ จำกัด ทราฟฟิกบนพอร์ต 80 ถึง HyperText Transfer Protocol (HTTP) เท่านั้น นอกจากนี้คุณยังจะต้องกำหนดค่าเซิร์ฟเวอร์เหล่านั้นเพื่อให้พวกเขาทำงานเฉพาะบริการที่จำเป็นสำหรับพวกเขาในการทำงาน คุณอาจต้องการให้ระบบตรวจจับการบุกรุก (IDS) ตรวจสอบกิจกรรมบนเซิร์ฟเวอร์ใน DMZ ของคุณเพื่อให้มัลแวร์โจมตีผ่านไฟร์วอลล์ซึ่งสามารถตรวจพบและหยุดการทำงานได้

ไฟร์วอลล์ภายในควรเป็นไฟร์วอลล์รุ่นต่อไป (NGFW) ที่ดำเนินการตรวจสอบปริมาณการใช้งานของคุณที่ผ่านพอร์ตเปิดในไฟร์วอลล์ของคุณและยังมองหาตัวบ่งชี้การบุกรุกหรือมัลแวร์ นี่คือไฟร์วอลล์ที่ปกป้องมงกุฎเพชรของเครือข่ายของคุณดังนั้นจึงไม่ใช่สถานที่ที่จะปล่อยทิ้ง ผู้ผลิต NGFWs ได้แก่ Barracude, Check Point, Cisco, Fortinet, Juniper และ Palo Alto เป็นต้น

พอร์ต Ethernet เป็นพอร์ต DMZ

สำหรับองค์กรขนาดเล็กมีวิธีการที่มีค่าใช้จ่ายน้อยกว่าที่จะให้ DMZ เราเตอร์ที่บ้านและธุรกิจขนาดเล็กจำนวนมากมีฟังก์ชั่นที่ช่วยให้คุณกำหนดพอร์ตอีเทอร์เน็ตหนึ่งพอร์ตเป็นพอร์ต DMZ สิ่งนี้ช่วยให้คุณสามารถวางอุปกรณ์เช่นเว็บเซิร์ฟเวอร์บนพอร์ตนั้นซึ่งสามารถแชร์ที่อยู่ IP ของคุณ แต่ยังสามารถใช้ได้กับโลกภายนอก ไม่จำเป็นต้องพูดว่าเซิร์ฟเวอร์นี้ควรถูกล็อคไว้เท่าที่จะทำได้และมีบริการที่จำเป็นเท่านั้น เพื่อแยกส่วนของคุณออกคุณสามารถแนบสวิตช์แยกไปยังพอร์ตนั้นและมีอุปกรณ์มากกว่าหนึ่งตัวใน DMZ

ข้อเสียของการใช้พอร์ต DMZ ที่กำหนดเช่นนี้คือคุณมีข้อผิดพลาดเพียงจุดเดียว แม้ว่าเราเตอร์เหล่านี้ส่วนใหญ่จะมีไฟร์วอลล์ในตัว แต่โดยทั่วไปจะไม่รวมชุดคุณลักษณะแบบเต็มของ NGFW นอกจากนี้หากเราเตอร์ละเมิดเครือข่ายของคุณก็เช่นกัน

ในขณะที่ DMZ ที่ใช้เราเตอร์ทำงานได้ แต่ก็อาจไม่ปลอดภัยเท่าที่คุณต้องการ อย่างน้อยที่สุดคุณอาจต้องพิจารณาเพิ่มไฟร์วอลล์ตัวที่สองไว้ด้านหลัง สิ่งนี้จะมีค่าใช้จ่ายเพิ่มเติมเล็กน้อย แต่จะไม่เสียค่าใช้จ่ายเท่าที่การละเมิดข้อมูลจะเกิดขึ้น ผลลัพธ์ที่สำคัญอื่น ๆ ด้วยการติดตั้งเช่นนี้ก็คือมันมีความซับซ้อนในการจัดการและพิจารณาว่า บริษัท ขนาดเล็กที่อาจใช้วิธีการนี้มักจะไม่มีพนักงานไอทีคุณอาจต้องการว่าจ้างที่ปรึกษาเพื่อจัดตั้งและจัดการ เป็นครั้งคราว

บังสุกุลสำหรับ DMZ

  • บริการ VPN ที่ดีที่สุดสำหรับปี 2019 บริการ VPN ที่ดีที่สุดสำหรับปี 2019
  • ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562 ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562
  • ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับ 2019 ซอฟต์แวร์ตรวจสอบเครือข่ายที่ดีที่สุดสำหรับปี 2562

ดังที่ได้กล่าวไว้ก่อนหน้านี้คุณจะไม่พบ DMZ มากเกินไปที่ยังทำงานอยู่ในป่า เหตุผลก็คือ DMZ มีวัตถุประสงค์เพื่อเติมฟังก์ชันที่วันนี้มีการจัดการในระบบคลาวด์สำหรับฟังก์ชั่นธุรกิจส่วนใหญ่ แอพ SaaS ทุกตัวที่คุณปรับใช้และเซิร์ฟเวอร์ทุกตัวที่คุณโฮสต์ย้ายโครงสร้างพื้นฐานที่หันเข้าหาภายนอกทั้งหมดจากศูนย์ข้อมูลของคุณและไปสู่คลาวด์และ DMZs ก็พร้อมแล้วสำหรับการเดินทาง หมายความว่าคุณสามารถเลือกบริการคลาวด์เปิดตัวอินสแตนซ์ที่มีเว็บเซิร์ฟเวอร์และปกป้องเซิร์ฟเวอร์นั้นด้วยไฟร์วอลล์ของผู้ให้บริการคลาวด์และคุณตั้งค่าไว้ ไม่จำเป็นต้องเพิ่มส่วนเครือข่ายที่กำหนดค่าแยกต่างหากไปยังเครือข่ายภายในของคุณเนื่องจากทุกอย่างเกิดขึ้นที่อื่น แต่อย่างใด นอกจากนี้ยังมีฟังก์ชั่นอื่น ๆ ที่คุณอาจใช้กับ DMZ ในระบบคลาวด์และด้วยวิธีการดังกล่าวคุณจะปลอดภัยยิ่งขึ้น

ถึงกระนั้นในฐานะที่เป็นกลยุทธ์การรักษาความปลอดภัยโดยทั่วไปมันเป็นมาตรการที่เหมาะสมทั้งหมด การสร้างกลุ่มเครือข่ายแบบ DMZ ที่อยู่หลังไฟร์วอลล์ของคุณจะให้ประโยชน์เช่นเดียวกับที่เคยทำเมื่อคุณใช้สควอชระหว่าง LAN และอินเทอร์เน็ต: ส่วนอื่นหมายถึงการป้องกันที่มากขึ้นคุณสามารถบังคับให้คนร้ายบุกเข้าไปก่อน สิ่งที่พวกเขาต้องการจริงๆ ยิ่งพวกเขาต้องทำงานมากเท่าไหร่ระบบของคุณก็จะยิ่งตรวจจับและตอบโต้ภัยคุกคามได้มากขึ้นเท่านั้น

dmz ตายไปแล้วหรือ ไม่มาก