Kompiuterių saugumo srityje DMZ (kartais vadinamas perimetriniu tinklu) yra fizinis arba loginis potinklis, kuriame yra ir išorinės organizacijos paslaugos pateikiamos didesniam nepatikimam tinklui, dažniausiai internetui. DMZ paskirtis yra papildomas saugos lygis prie organizacijos vietinio tinklo (LAN); išorinis užpuolikas gali naudotis tik DMZ esančia įranga, o ne bet kuria kita tinklo dalimi. Pavadinimas yra kilęs iš termino „demilitarizuota zona“ - teritorijos tarp tautinių valstybių, kurioje kariniai veiksmai nėra leidžiami.
Įprasta, kad jūsų tinkle yra užkarda ir demilitarizuota zona (DMZ), tačiau daugelis žmonių ir net IT specialistai nelabai supranta kodėl, išskyrus neaiškią pusiau saugumo idėją.
Dauguma savo serverius priglobiančių įmonių valdo savo tinklus su DMZ, esančia jų tinklo perimetre, paprastai veikia atskiroje užkardoje, kaip pusiau patikimoje sistemose, kurios sąveikauja su išoriniu pasauliu,.
Kodėl egzistuoja tokios zonos ir kokios sistemos ar duomenys jose turėtų būti?
Norint išlaikyti tikrą saugumą, svarbu aiškiai suprasti DMZ tikslą.
Dauguma ugniasienių yra tinklo lygio apsaugos įrenginiai, dažniausiai prietaisas arba prietaisas kartu su tinklo įranga. Jie skirti suteikti išsamias prieigos kontrolės priemones pagrindiniame verslo tinklo taške. DMZ yra jūsų tinklo sritis, atskirta nuo jūsų vidinio tinklo ir interneto, tačiau sujungta su abiem.
DMZ yra skirtas sistemoms, kurios turi būti prieinamos internete, bet skirtingais būdais nei jūsų vidinis tinklas. Prieinamumo internete laipsnį tinklo lygiu kontroliuoja užkarda. Programos lygiu prieinamumo internete laipsnį kontroliuoja programinė įranga, kuri iš tikrųjų yra tinklo serverio, operacinės sistemos, pritaikytos programos ir dažnai duomenų bazės programinės įrangos derinys.
DMZ paprastai leidžia ribotą prieigą iš interneto ir iš vidinio tinklo. Vidiniai vartotojai paprastai turi naudotis DMZ sistemomis, kad atnaujintų informaciją arba naudotų joje surinktus ar apdorotus duomenis. DMZ yra skirtas leisti visuomenei susipažinti su informacija internete, tačiau ribotais būdais. Bet kadangi egzistuoja internetas ir išradingų žmonių pasaulis, visada kyla pavojus, kad šios sistemos gali būti pažeistos.
Kompromiso poveikis yra dvejopas: pirma, informacija apie veikiamą (-as) sistemą (-as) gali būti prarasta (t. Y. Nukopijuota, sunaikinta ar sugadinta), antra, pati sistema gali būti naudojama kaip platforma tolesniems išpuoliams prieš jautrias vidines sistemas.
Siekiant sušvelninti pirmąją riziką, DMZ turėtų leisti naudotis tik naudojant ribotus protokolus (pvz., HTTP įprastai prieigai prie interneto ir HTTPS šifruotai prieigai prie interneto). Tada pačios sistemos turi būti kruopščiai sukonfigūruotos, kad būtų užtikrinta apsauga naudojant leidimus, autentifikavimo mechanizmus, kruopštų programavimą ir kartais šifravimą.
Pagalvokite, kokią informaciją surinks ir kaups jūsų svetainė ar programa. Tai gali būti prarasta, jei sistemoms pakenkiama įprastomis interneto atakomis, tokiomis kaip SQL injekcija, buferio perpildymas ar neteisingos teisės.
Siekiant sušvelninti antrąją riziką, giliau vidiniame tinkle esančios sistemos neturėtų pasitikėti DMZ sistemomis. Kitaip tariant, DMZ sistemos neturėtų nieko žinoti apie vidines sistemas, nors kai kurios vidinės sistemos gali žinoti apie DMZ sistemas. Be to, DMZ prieigos kontrolė neturėtų leisti DMZ sistemoms inicijuoti jokių ryšių toliau į tinklą. Vietoj to, bet kokį ryšį su DMZ sistemomis turėtų inicijuoti vidinės sistemos. Jei DMZ sistema yra pažeista kaip atakos platforma, vienintelės jai matomos sistemos turėtų būti kitos DMZ sistemos.
Itin svarbu, kad IT vadovai ir verslo savininkai suprastų, kokią žalą gali sukelti internete veikiančios sistemos, taip pat apsaugos mechanizmus ir metodus, pvz., DMZ. Savininkai ir vadovai gali priimti pagrįstus sprendimus dėl to, kokią riziką jie nori prisiimti, tik gerai supratę, kaip efektyviai jų priemonės ir procesai tą riziką sušvelnina.
3 minutes perskaityta
