Adakah dmz mati? tidak cukup

Contoh terbaik dari zon demiliterisasi (DMZ) hari ini adalah jalur tanah yang sangat dijaga di Korea. Ia adalah kawasan di kedua-dua belah sempadan antara Korea Utara dan Korea Selatan yang bertujuan untuk memastikan setiap negara tidak sengaja memulakan perang dengan yang lain. Dalam pengkomputeran, DMZ adalah serupa dalam konsep kerana ia menyediakan tempat yang memelihara dunia internet yang tidak dipercayai dari rangkaian dalaman organisasi anda, sementara masih menawarkan perkhidmatan kepada dunia luar. Untuk masa yang lama, mana-mana bangunan IT profesional hampir mana-mana jenis rangkaian yang berkaitan dengan internet menyatukan DMZ sebagai satu perkara tentu saja. Tetapi awan telah mengubah semua itu.

Sebabnya ialah awan telah menanggalkan keperluan untuk kebanyakan syarikat untuk menjadi tuan rumah pelayan web mereka sendiri. Kembali pada hari itu, jika anda mempunyai pelayan web dalaman yang terbuka kepada orang ramai, maka anda mahu pelayan itu tinggal di DMZ anda. Begitu juga, anda mahukan pelayan e-mel anda di sana, dan mana-mana pelayan yang sedang menghadap ke hadapan, seperti pintu masuk akses jauh anda, pelayan pengesahan, pelayan proksi, atau mungkin pelayan Telnet. Ini adalah semua peranti yang mesti diakses dari internet tetapi yang menyediakan perkhidmatan dari organisasi anda. Hari ini, sudah tentu, kebanyakan syarikat menggunakan penyedia e-mel yang dihoskan bersama dengan menggunakan aplikasi Software-as-a-Service (SaaS) yang membuat perumahan di luar pelayan web di dalam almari data anda tidak perlu.

Langkah keselamatan tambahan perusahaan diambil 2017

Sekiranya anda masih mempunyai DMZ yang beroperasi, maka anda akan dapati ia merupakan contoh yang tipikal bagi segmentasi rangkaian. Perhatikan dengan teliti dan anda akan menemui beberapa gabungan firewall dan router. Dalam kebanyakan kes, DMZ akan dibuat oleh peranti keselamatan kelebihan (biasanya firewall) yang kemudiannya disandarkan oleh router atau firewall lain yang menjaga pintu-pintu masuk ke rangkaian dalaman.

Walaupun kebanyakan organisasi tidak lagi memerlukan DMZ untuk melindungi diri mereka dari dunia luar, konsep memisahkan barang berharga digital dari seluruh rangkaian anda masih merupakan strategi keselamatan yang kuat. Sekiranya anda menggunakan mekanisme DMZ secara sepenuhnya, maka masih ada kes yang digunakan. Satu contoh ialah melindungi akses ke kedai data yang berharga, senarai kawalan akses, atau trojan harta karun yang serupa; anda akan menginginkan mana-mana pengguna yang tidak berpotensi untuk melompat melalui sebanyak mungkin gelung tambahan sebelum mendapat akses.

Bagaimana DMZ berfungsi

DMZ berfungsi seperti ini: Akan ada firewall kelebihan yang menghadapi kengerian internet terbuka. Selepas itu akan menjadi DMZ dan firewall lain yang melindungi rangkaian kawasan tempatan syarikat anda (LAN). Di sebalik firewall itu akan menjadi rangkaian dalaman anda. Dengan menambahkan rangkaian tambahan ini, anda boleh melaksanakan lapisan keselamatan tambahan yang tidak perlu dikalahkan sebelum mereka boleh sampai ke rangkaian dalaman sebenar anda-di mana segala sesuatu mungkin juga dilindungi bukan hanya oleh kawalan akses rangkaian tetapi suite perlindungan titik akhir juga.

Di antara firewall pertama dan yang kedua, anda biasanya akan mencari suis yang menyediakan sambungan rangkaian kepada pelayan dan peranti yang perlu tersedia di internet. Suis juga menyediakan sambungan ke firewall kedua.

Firewall pertama harus dikonfigurasi untuk hanya membenarkan trafik yang perlu mencapai LAN dalaman dan pelayan di DMZ. Firewall dalaman harus membenarkan trafik hanya melalui port khusus yang diperlukan untuk operasi rangkaian dalaman anda.

Dalam DMZ, anda perlu mengkonfigurasi pelayan anda untuk hanya menerima trafik pada port tertentu dan hanya menerima protokol tertentu. Sebagai contoh, anda akan mahu mengehadkan lalu lintas di Port 80 ke Protokol Pemindahan HyperText (HTTP) sahaja. Anda juga ingin mengkonfigurasi pelayan tersebut supaya mereka menjalankan hanya perkhidmatan yang diperlukan untuk berfungsi. Anda mungkin juga ingin mempunyai aktiviti pemantauan sistem pengesanan pencerobohan (IDS) pada pelayan di DMZ anda supaya serangan malware yang membuatnya melalui firewall dapat dikesan dan dihentikan.

Firewall dalaman harus menjadi firewall generasi akan datang (NGFW) yang melakukan pemeriksaan lalu lintas anda yang melewati pelabuhan terbuka di firewall anda dan juga mencari indikasi pencerobohan atau malware. Ini adalah firewall yang melindungi permata mahkota rangkaian anda jadi itu bukan tempat untuk mengepit. Pembuat NGFW termasuk Barracude, Check Point, Cisco, Fortinet, Juniper, dan Palo Alto, antara lain.

Pelabuhan Ethernet sebagai Pelabuhan DMZ

Untuk organisasi yang lebih kecil, terdapat pendekatan lain yang kurang mahal yang masih akan menyediakan DMZ. Banyak router rumah dan perniagaan kecil termasuk fungsi yang membolehkan anda menunjuk salah satu pelabuhan Ethernet sebagai pelabuhan DMZ. Ini membolehkan anda meletakkan peranti seperti pelayan web di port tersebut di mana ia boleh berkongsi alamat IP anda tetapi juga boleh didapati di dunia luar. Tidak perlu dikatakan, pelayan ini sepatutnya terkunci mungkin dan hanya mempunyai perkhidmatan yang mutlak diperlukan. Untuk memasuki segmen anda, anda boleh melampirkan suis berasingan ke port tersebut dan mempunyai lebih daripada satu peranti dalam DMZ.

Kelemahan penggunaan port DMZ yang ditetapkan adalah bahawa anda hanya mempunyai satu kegagalan. Walaupun kebanyakan router ini juga termasuk firewall terbenam, mereka biasanya tidak memasukkan set ciri penuh NGFW. Di samping itu, jika penghala dilanggar, maka begitu pula rangkaian anda.

Walaupun DMZ berasaskan router berfungsi, ia mungkin tidak selamat seperti yang anda mahukan. Sekurang-kurangnya, anda mungkin ingin mempertimbangkan menambah firewall kedua di belakangnya. Ini akan menelan belanja sedikit tetapi ia tidak akan dikenakan biaya hampir sebanyak pelanggaran data. Kesan utama yang lain dengan persediaan sedemikian adalah bahawa ia lebih kompleks untuk mentadbir dan, memandangkan syarikat-syarikat kecil yang mungkin menggunakan pendekatan ini biasanya tidak mempunyai staf IT, anda mungkin ingin melibatkan seorang perunding untuk menetapkan ini dan kemudian mengurus ia dari semasa ke semasa.

A Requiem for the DMZ

• Perkhidmatan VPN Terbaik untuk 2019 Perkhidmatan VPN Terbaik untuk 2019
• Perlindungan Endpoint Terbaik dan Perisian Keselamatan Hosted untuk 2019 Perlindungan Endpoint Terbaik Perlindungan dan Perisian Keselamatan untuk 2019
• Perisian Pemantauan Rangkaian Terbaik untuk 2019 Perisian Pemantauan Rangkaian Terbaik untuk 2019

Seperti yang dinyatakan sebelum ini, anda tidak akan mendapati terlalu banyak DMZ yang masih berjalan di hutan. Sebabnya ialah DMZ bertujuan untuk mengisi fungsi yang kini dikendalikan di awan untuk majoriti fungsi perniagaan. Setiap aplikasi SaaS yang anda gunakan dan setiap pelayan yang anda tuan rumah semuanya memindahkan infrastruktur yang menghadap ke luar dari pusat data anda dan ke awan, dan DMZ telah pergi untuk perjalanan. Ini bermakna anda boleh memilih perkhidmatan awan, melancarkan contoh yang merangkumi pelayan web, dan melindungi pelayan itu dengan firewall pembekal awan dan anda ditetapkan. Tidak perlu menambah segmen rangkaian yang dikonfigurasikan berasingan ke rangkaian dalaman anda kerana segala-galanya berlaku di tempat lain pula. Selain itu, fungsi lain yang mungkin anda gunakan dengan DMZ juga boleh didapati di awan, dan dengan cara itu, anda akan lebih selamat.

Walau bagaimanapun, sebagai taktik keselamatan umum, ia adalah ukuran yang sepenuhnya berdaya maju. Mewujudkan satu segmen rangkaian gaya DMZ di belakang firewall anda membawa faedah yang sama seperti yang berlaku ketika anda digunakan untuk memecahkan satu antara LAN anda dan internet: segmen lain bermaksud lebih banyak perlindungan yang anda boleh memaksa orang jahat untuk menembusi sebelum mereka dapat apa yang mereka mahukan. Dan semakin mereka perlu bekerja, semakin lama anda atau sistem pengesanan dan respon ancaman anda perlu melihat dan bertindak balas.