İçindekiler:
Video: What is a DMZ? (Demilitarized Zone) (Kasım 2024)
Silahsızlaştırılmış bir bölgenin (DMZ) bugün en iyi örneği Kore'de çok korunan bir toprak şerididir. Her ülkenin diğerleriyle savaşa kazara başlamasını engelleme amacı taşıyan Kuzey Kore ve Güney Kore arasındaki sınırın her iki tarafındaki bölge. Bilgi işlemde, bir DMZ, internetin güvenilmeyen dünyasını kurumunuzun iç ağından uzak tutan, yine de dış dünyaya hizmet sunan bir yer sağlaması bakımından benzerdir. Uzun süredir, BT profesyonel bir binada neredeyse her türlü internet bağlantılı ağ her türlü meseleyi bir DMZ ile bir araya getirdi. Ancak bulut tüm bunları değiştirdi.
2017 ek güvenlik önlemi alındı
Halen çalışmakta olan bir DMZ'niz varsa, bunun tipik bir ağ bölümleme örneği olduğunu göreceksiniz. Yakından bakın, genellikle güvenlik duvarı ve yönlendirici kombinasyonlarını bulacaksınız. Çoğu durumda, DMZ daha sonra geçitleri dahili ağa koruyan başka bir yönlendirici veya güvenlik duvarı tarafından desteklenen bir uç güvenlik cihazı (genellikle bir güvenlik duvarı) tarafından oluşturulur.
Çoğu kurum artık kendilerini dış dünyadan korumak için bir DMZ'ye ihtiyaç duymazken, değerli dijital ürünleri ağınızın geri kalanından ayırma kavramı hala güçlü bir güvenlik stratejisidir. DMZ mekanizmasını tamamen içsel olarak uygularsanız, mantıklı olan durumlar hala vardır. Bir örnek, değerli veri depolarına, erişim kontrol listelerine veya benzeri hazine birliklerine erişimi korumak; Yetkilendirilmemiş kullanıcıların potansiyel olarak erişim kazanmadan önce mümkün olduğunca fazla ilave çembere atlamasını istersiniz.
Bir DMZ Nasıl Çalışır?
Bir DMZ şöyle çalışır: Açık internetin dehşetiyle karşı karşıya olan bir kenar güvenlik duvarı olacak. Bundan sonra DMZ ve şirketinizin yerel alan ağını (LAN) koruyan başka bir güvenlik duvarı olacak. Bu güvenlik duvarının arkasında dahili ağınız olacak. Bu ekstra ağ arasına ekleyerek, malentlerin asıl dahili ağınıza ulaşmadan önce yenmeleri gereken ek güvenlik katmanlarını uygulayabilirsiniz - burada her şey muhtemelen yalnızca ağ erişim kontrolleriyle değil, aynı zamanda uç nokta koruma takımlarıyla da kapsanmaktadır.
İlk güvenlik duvarı ile ikincisi arasında normal olarak, sunuculara ve internette bulunması gereken cihazlara ağ bağlantısı sağlayan bir anahtar bulacaksınız. Anahtar ayrıca ikinci güvenlik duvarına bağlantı sağlar.
İlk güvenlik duvarı, yalnızca dahili LAN'ınıza ve DMZ'deki sunuculara ulaşması gereken trafiğe izin verecek şekilde yapılandırılmalıdır. Dahili güvenlik duvarı, yalnızca dahili ağınızın çalışması için gerekli olan belirli portlar üzerinden trafiğe izin vermelidir.
DMZ'de, sunucularınızı yalnızca belirli bağlantı noktalarındaki trafiği kabul edecek ve yalnızca belirli protokolleri kabul edecek şekilde yapılandırmalısınız. Örneğin, Bağlantı Noktası 80’deki trafiği yalnızca Köprü Metni Aktarım Protokolü (HTTP) ile sınırlamak isteyeceksiniz. Ayrıca bu sunucuları, yalnızca çalışması için gerekli hizmetleri çalıştıracak şekilde yapılandırmak isteyeceksiniz. Ayrıca, güvenlik duvarından geçen bir kötü amaçlı yazılım saldırısının algılanıp durdurulabilmesi için DMZ'nizdeki sunuculardaki etkinliği izleyen bir izinsiz giriş algılama sistemi (IDS) olmasını isteyebilirsiniz.
Dahili güvenlik duvarı, güvenlik duvarınızdaki açık bağlantı noktalarından geçen ve ayrıca izinsiz girişlerin veya kötü amaçlı yazılımların belirtilerini arayan trafiğinizi denetleyen yeni nesil bir güvenlik duvarı (NGFW) olmalıdır. Bu, ağınızın taç mücevherlerini koruyan güvenlik duvarıdır, bu nedenle eksik olan yer değildir. NGFW'lerin yapımcıları arasında diğerleri arasında Barracude, Check Point, Cisco, Fortinet, Juniper ve Palo Alto bulunur.
DMZ Portları Olarak Ethernet Portları
Küçük kuruluşlar için, yine de bir DMZ sağlayacak daha az maliyetli bir yaklaşım var. Birçok ev ve küçük işletme yönlendiricisi, Ethernet bağlantı noktalarından birini DMZ bağlantı noktası olarak belirlemenizi sağlayan bir işlev içerir. Bu, IP adresinizi paylaşabileceği ancak dış dünyaya da erişebileceği bir bağlantı noktası için web sunucusu gibi bir aygıt yerleştirmenize olanak sağlar. Söylemeye gerek yok, bu sunucu mümkün olduğunca kilitli olmalı ve yalnızca kesinlikle gerekli servislerin çalışmasını sağlamalıdır. Segmentinizi çıkarmak için, bu porta ayrı bir anahtar ekleyebilir ve DMZ'de birden fazla cihaza sahip olabilirsiniz.
Böyle bir belirlenmiş DMZ portunun kullanımının olumsuz tarafı, sadece bir başarısızlık noktasına sahip olmanızdır. Bu yönlendiricilerin çoğu gömülü bir güvenlik duvarı da içermesine rağmen, genellikle bir NGFW özelliklerinin tümünü içermez. Ayrıca, yönlendirici ihlal edilirse, ağınız da öyledir.
Yönlendirici tabanlı bir DMZ çalışıyor olsa da, istediğiniz kadar güvenli olmayabilir. En azından, arkasına ikinci bir güvenlik duvarı eklemeyi düşünebilirsiniz. Bu biraz ekstraya mal olacak, ancak neredeyse bir veri ihlali kadar mal olmayacak. Bu tür bir kurulumun diğer önemli sonucu, yönetimin daha karmaşık olmasıdır ve bu yaklaşımı kullanabilecek daha küçük şirketlerin tipik olarak bir BT personeli olmadığını göz önünde bulundurarak, bunu ayarlamak ve daha sonra yönetmek için bir danışmanla çalışmak isteyebilirsiniz. zaman zaman.
DMZ İçin Bir Gereksinim
- 2019 İçin En İyi VPN Hizmetleri 2019 İçin En İyi VPN Hizmetleri
- 2019 İçin En İyi Barındırılan Son Nokta Koruma ve Güvenlik Yazılımı 2019 İçin En İyi Barındırılan Son Nokta Koruma ve Güvenlik Yazılımı
- 2019 İçin En İyi Ağ İzleme Yazılımı 2019 İçin En İyi Ağ İzleme Yazılımı
Daha önce de belirtildiği gibi, hala vahşi ortamda çalışan çok fazla DMZ bulamazsınız. Bunun nedeni, DMZ'nin bugün iş fonksiyonlarının büyük çoğunluğu için bulutta ele alınan bir işlevi doldurması amaçlanmış olmasıdır. Dağıttığınız her SaaS uygulaması ve barındırdığınız her sunucu, dışarıdan bakan altyapısını veri merkezinizden ve buluttan çıkarır ve DMZ'ler yolculuk boyunca devam eder. Bu, bir bulut hizmeti seçebileceğiniz, bir web sunucusu içeren bir örnek çalıştırabileceğiniz ve bu sunucuyu bulut sağlayıcısının güvenlik duvarı ile koruyabileceğiniz ve hazır olduğunuz anlamına gelir. Her şey bir yerde olduğu için dahili ağınıza ayrı olarak yapılandırılmış bir ağ segmenti eklemenize gerek yok. Ayrıca, bir DMZ ile kullanabileceğiniz diğer işlevler de bulutta mevcuttur ve bu şekilde giderken daha güvenli olursunuz.
Yine de, genel bir güvenlik taktiği olarak, tamamen uygulanabilir bir önlem. Güvenlik duvarınızın ardında DMZ tarzı bir ağ segmenti oluşturmak, LAN ve internet arasında birini ezmek için kullandığınız zamanki faydaları sağlar: başka bir segment de kötü adamları yakalamadan önce nüfuz etmeye zorlayabileceğiniz daha fazla koruma demektir Gerçekten ne istiyorlarsa. Ve ne kadar çok çalışmak zorunda kalırsa, siz veya tehdit tespit etme ve müdahale sisteminiz o kadar uzun süre onları tespit edip tepki göstermelidir.
