Er dmz død? ikke helt

Det beste eksemplet på en demilitarisert sone (DMZ) i dag er en tungt bevoktet landstrimmel i Korea. Det er området på hver side av grensen mellom Nord-Korea og Sør-Korea som skal hindre hver nasjon i å starte en krig med den andre ved et uhell. Når det gjelder databehandling, er en DMZ lik konsept ved at den gir et sted som holder den ikke betrodde verdenen utenfor organisasjonens interne nettverk, samtidig som den tilbyr tjenester til omverdenen. I lang tid har enhver IT-profesjonell som bygger nesten alle slags internett-tilkoblede nettverk satt sammen en DMZ som en selvfølge. Men skyen har endret alt det.

Årsaken er at skyen har unngått behovet for at de fleste selskaper har vert for sine egne webservere. Tilbake på dagen, hvis du hadde en egen webserver som var åpen for publikum, ville du ønske at serveren skal leve i DMZ-en din. På samme måte ville du ønsket e-postserveren din der, og andre servere som vender utover, for eksempel gatewayen for ekstern tilgang, en autentiseringsserver, proxy-server eller kanskje til og med en Telnet-server. Dette er alle enheter som må være tilgjengelige fra internett, men som leverer tjenester fra organisasjonen din. I dag bruker selvfølgelig de fleste selskaper vertsbaserte e-postleverandører sammen med distribusjon av programvare-som-en-tjeneste (SaaS) -applikasjoner som gjør boliger eksterntvendte webservere i dataskapet ditt unødvendige.

Enterprise ekstra sikkerhetstiltak som ble tatt i 2017

Hvis du fremdeles har en DMZ i drift, vil du finne at det er et typisk eksempel på nettverkssegmentering. Se nøye, og du vil vanligvis finne en kombinasjon av brannmurer og rutere. I de fleste tilfeller blir DMZ opprettet av en kantsikkerhetsenhet (vanligvis en brannmur) som deretter blir sikkerhetskopiert av en annen ruter eller brannmur som beskytter portene til det interne nettverket.

Mens de fleste organisasjoner ikke lenger trenger en DMZ for å beskytte seg mot omverdenen, er konseptet å skille verdifulle digitale godbiter fra resten av nettverket ditt fortsatt en sterk sikkerhetsstrategi. Hvis du bruker DMZ-mekanismen på en helt intern basis, er det fremdeles brukssaker som er fornuftige. Et eksempel er å beskytte tilgang til verdifulle datalagre, tilgangskontrollister eller lignende skattekammer; vil du at eventuelle uautoriserte brukere skal hoppe gjennom så mange ekstra bøyler som mulig før de får tilgang.

Slik fungerer en DMZ

En DMZ fungerer slik: Det vil være en kantbrannmur som står overfor skrekken fra det åpne internett. Etter det vil DMZ og en annen brannmur som beskytter bedriftens lokalnettverk (LAN). Bak den brannmuren ligger det interne nettverket. Ved å legge til dette ekstra nettverket i mellom, kan du implementere ytterligere sikkerhetslag som malcontents trenger å beseire før de kan komme til ditt faktiske interne nettverk - der alt antagelig også dekkes ikke bare av tilgangskontroller for nettverk, men også endepunktbeskyttelse.

Mellom den første brannmuren og den andre vil du normalt finne en bryter som gir en nettverkstilkobling til serverne og enhetene som trenger å være tilgjengelige for internett. Bryteren gir også en forbindelse til den andre brannmuren.

Den første brannmuren skal konfigureres slik at den kun tillater trafikk som trenger å nå ditt interne LAN og serverne i DMZ. Den interne brannmuren skal tillate trafikk bare gjennom bestemte porter som er nødvendige for driften av det interne nettverket.

I DMZ bør du konfigurere serverne dine slik at de bare aksepterer trafikk på spesifikke porter og til å bare godta spesifikke protokoller. For eksempel vil du begrense trafikken på Port 80 til HyperText Transfer Protocol (HTTP). Du vil også konfigurere serverne slik at de bare kjører de tjenestene som er nødvendige for at de skal fungere. Det kan også være lurt å ha et IDS-overvåkingssystem for inntrengingsdeteksjon på serverne i DMZ-en din, slik at et malware-angrep som gjør det gjennom brannmuren kan oppdages og stoppes.

Den interne brannmuren skal være en neste generasjons brannmur (NGFW) som utfører inspeksjoner av trafikken din som går gjennom de åpne portene i brannmuren og også ser etter indikasjoner på inntrenging eller malware. Dette er brannmuren som beskytter kronjuvelene i nettverket ditt, så det er ikke stedet å skimpte. Produsenter av NGFW-er inkluderer blant andre Barracude, Check Point, Cisco, Fortinet, Juniper og Palo Alto.

Ethernet-porter som DMZ-porter

For mindre organisasjoner er det en annen rimeligere tilnærming som fremdeles vil gi en DMZ. Mange hjemme- og småbedriftsrutere har en funksjon som lar deg utpeke en av Ethernet-portene som en DMZ-port. Dette lar deg plassere en enhet som en webserver på den porten der den kan dele IP-adressen din, men også være tilgjengelig for omverdenen. Unødvendig å si, denne serveren skal være så låst som mulig og bare ha absolutt nødvendige tjenester som kjører. Hvis du vil fjerne segmentet ditt, kan du knytte en egen bryter til den porten og ha mer enn en enhet i DMZ.

Ulempen med bruken av en slik utpekt DMZ-port er at du bare har ett feil punkt. Selv om de fleste av disse ruterne også inkluderer en innebygd brannmur, inkluderer de generelt ikke hele fagsettet til en NGFW. I tillegg, hvis ruteren er brutt, er nettverket ditt også.

Mens en rutebasert DMZ fungerer, er den sannsynligvis ikke så sikker som du vil at den skal være. I det minste kan det være lurt å vurdere å legge en ny brannmur bak. Dette vil koste litt ekstra, men det vil ikke koste nesten så mye som et datainnbrudd vil gjøre. Den andre hovedkonsekvensen med et slikt oppsett er at det er mer komplisert å administrere, og med tanke på at de mindre selskapene som kanskje bruker denne tilnærmingen vanligvis ikke har en IT-stab, kan det være lurt å engasjere en konsulent til å sette opp dette og deretter administrere av og til.

Et Requiem for DMZ

• De beste VPN-tjenestene for 2019 De beste VPN-tjenestene for 2019
• Den beste vertsmessige endepunktbeskyttelses- og sikkerhetsprogramvaren for 2019 Den beste vertsbaserte endepunktbeskyttelse og sikkerhetsprogramvare for 2019
• Den beste nettverksovervåkingsprogramvaren for 2019 Den beste nettverksovervåkingsprogramvaren for 2019

Som nevnt tidligere, vil du ikke finne for mange DMZ som fremdeles kjører i naturen. Årsaken er at DMZ var ment å fylle en funksjon som i dag blir håndtert i skyen for de aller fleste forretningsfunksjoner. Hver SaaS-app du distribuerer og hver server du er vert for, beveger seg eksternt vendt infrastruktur ut av datasenteret og inn i skyen, og DMZ-er har gått med på turen. Det betyr at du kan velge en skytjeneste, starte en forekomst som inkluderer en webserver og beskytte denne serveren med skyleverandørens brannmur, og du er klar. Du trenger ikke å legge til et separat konfigurert nettverkssegment til det interne nettverket siden alt uansett skjer andre steder. I tillegg er de andre funksjonene du kan bruke med en DMZ også tilgjengelig i skyen, og ved å gå på den måten blir du enda tryggere.

Likevel, som en generell sikkerhetstaktikk, er det et helt levedyktig tiltak. Å opprette et DMZ-nettverkssegment bak brannmuren gir de samme fordelene som det gjorde da du pleide å skvise et mellom LAN og internett: et annet segment betyr mer beskyttelse du kan tvinge skurkene til å trenge gjennom før de kan komme til hva de virkelig vil ha. Og jo mer de må jobbe, jo lengre tid har du eller ditt trusselregistrerings- og responssystem å oppdage dem og reagere.