目次:
ビデオ: †ÙÆ' الÙÆ'ويت الوطنيإعلانال�طور رà (十一月 2024)
今日の非武装地帯(DMZ)の最良の例は、韓国の厳重に守られた土地です。 北朝鮮と韓国の境界の両側にある地域は、各国が誤って他国と戦争を開始しないようにすることを目的としています。 コンピューティングでは、DMZの概念は似ていますが、信頼できないインターネットの世界を組織の内部ネットワークから遠ざけ、外部の世界にサービスを提供する場所を提供します。 長い間、ほぼすべての種類のインターネット接続ネットワークを構築するITプロフェッショナルは、当然ながらDMZを構築していました。 しかし、クラウドはすべてを変えました。
2017年に実施されたエンタープライズの追加のセキュリティ対策
それでもDMZが動作している場合は、ネットワークセグメンテーションの典型的な例であることがわかります。 よく見ると、一般にファイアウォールとルーターの組み合わせがいくつか見つかります。 ほとんどの場合、DMZはエッジセキュリティデバイス(通常はファイアウォール)によって作成され、内部ネットワークへのゲートを保護する別のルーターまたはファイアウォールによってバックアップされます。
ほとんどの組織は、外部の世界から身を守るためにDMZを必要としなくなりましたが、貴重なデジタル製品をネットワークの他の部分から分離するという概念は、依然として強力なセキュリティ戦略です。 DMZメカニズムを完全に内部ベースで適用する場合、意味のあるユースケースがまだあります。 1つの例は、貴重なデータストア、アクセス制御リスト、または同様の宝庫へのアクセスを保護することです。 潜在的な無許可のユーザーがアクセスする前に、できるだけ多くの追加のフープをジャンプする必要があります。
DMZの仕組み
DMZは次のように機能します。オープンインターネットの恐怖に直面するエッジファイアウォールが存在します。 その後、DMZと、会社のローカルエリアネットワーク(LAN)を保護する別のファイアウォールが配置されます。 そのファイアウォールの背後には内部ネットワークがあります。 この追加の中間ネットワークを追加することにより、不正アクセスが実際の内部ネットワークに到達する前に無効にする必要のある追加のセキュリティレイヤーを実装できます。
通常、最初のファイアウォールと2番目のファイアウォールの間には、インターネットで利用できるようにする必要があるサーバーとデバイスへのネットワーク接続を提供するスイッチがあります。 スイッチは、2番目のファイアウォールへの接続も提供します。
最初のファイアウォールは、内部LANとDMZ内のサーバーに到達する必要があるトラフィックのみを許可するように構成する必要があります。 内部ファイアウォールは、内部ネットワークの動作に必要な特定のポートを介したトラフィックのみを許可する必要があります。
DMZでは、特定のポートのトラフィックのみを受け入れ、特定のプロトコルのみを受け入れるようにサーバーを構成する必要があります。 たとえば、ポート80のトラフィックをHyperText Transfer Protocol(HTTP)のみに制限することができます。 また、それらのサーバーが機能するために必要なサービスのみを実行するように、これらのサーバーを構成することもできます。 ファイアウォールを通過するマルウェア攻撃を検出して停止できるように、侵入検知システム(IDS)でDMZ内のサーバーのアクティビティを監視することもできます。
内部ファイアウォールは、ファイアウォールの開いているポートを通過し、侵入またはマルウェアの兆候を探すトラフィックの検査を実行する次世代ファイアウォール(NGFW)である必要があります。 これは、ネットワークの重要な要素を保護するファイアウォールであるため、skiする場所ではありません。 NGFWのメーカーには、特にバラクーデ、チェックポイント、シスコ、フォーティネット、ジュニパー、パロアルトが含まれます。
DMZポートとしてのイーサネットポート
小規模な組織には、DMZを提供するコストの低いアプローチがもう1つあります。 多くのホームおよびスモールビジネスルーターには、イーサネットポートの1つをDMZポートとして指定できる機能が含まれています。 これにより、そのポートにWebサーバーなどのデバイスを配置して、IPアドレスを共有できるだけでなく、外部からも利用できるようにすることができます。 言うまでもなく、このサーバーは可能な限りロックダウンし、絶対に必要なサービスのみを実行する必要があります。 セグメントを具体化するには、別のスイッチをそのポートに接続し、DMZに複数のデバイスを配置します。
そのような指定されたDMZポートを使用することの欠点は、障害点が1つしかないことです。 これらのルーターのほとんどには組み込みのファイアウォールも含まれていますが、通常、NGFWの完全な機能セットは含まれていません。 さらに、ルーターが侵害された場合、ネットワークも侵害されます。
ルーターベースのDMZは機能しますが、おそらくあなたが望むほど安全ではありません。 少なくとも、背後に2番目のファイアウォールを追加することを検討することをお勧めします。 これには少し余分な費用がかかりますが、データ侵害の場合ほど費用はかかりません。 このようなセットアップのその他の主な結果は、管理がより複雑になることです。このアプローチを使用する小規模な企業には通常ITスタッフがいないことを考えると、コンサルタントを雇ってこれをセットアップして管理することができます。時々それ。
DMZのレクイエム
- 2019年のベストVPNサービス2019年のベストVPNサービス
- 2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア2019年の最高のホスト型エンドポイント保護およびセキュリティソフトウェア
- 2019年のベストネットワーク監視ソフトウェア2019年のベストネットワーク監視ソフトウェア
前述したように、実際に実行されているDMZの数はあまり多くありません。 その理由は、DMZが今日のビジネス機能の大部分のためにクラウドで処理されている機能を満たすことを意図していたためです。 デプロイするすべてのSaaSアプリとホストするすべてのサーバーはすべて、外部に面したインフラストラクチャをデータセンターからクラウドに移動し、DMZが乗っています。 つまり、クラウドサービスを選択し、Webサーバーを含むインスタンスを起動し、クラウドプロバイダーのファイアウォールでそのサーバーを保護すれば、設定は完了です。 いずれにせよすべてが他の場所で行われているため、個別に構成されたネットワークセグメントを内部ネットワークに追加する必要はありません。 さらに、DMZで使用する可能性のある他の機能もクラウドで利用できます。そのようにすれば、さらに安全になります。
それでも、一般的なセキュリティ戦術として、それは完全に実行可能な手段です。 ファイアウォールの背後にDMZスタイルのネットワークセグメントを作成すると、LANとインターネットの間で1つを押しつぶした場合と同じ利点が得られます。彼らが本当に欲しいもの。 そして、彼らが働かなければならないほど、あなたまたはあなたの脅威検出および対応システムがそれらを見つけて反応する必要が長くなります。
