Turinys:
Video: Unreal CNC Machining | Mind Blowing Speeds | Earth Shattering Cuts | DMU50 Best of TITANS 2019 (Lapkritis 2024)
Geriausias demilitarizuotos zonos (DMZ) pavyzdys šiandien yra stipriai saugoma žemės juosta Korėjoje. Tai teritorija, esanti abipus sienos tarp Šiaurės Korėjos ir Pietų Korėjos, ir skirta apsaugoti kiekvieną tautą nuo atsitiktinio karo su kita. Kompiuterijoje DMZ yra panaši savo koncepcija tuo, kad suteikia vietą, kuri pašalina nepatikimą interneto pasaulį iš jūsų organizacijos vidinio tinklo, tuo pačiu teikdama paslaugas išoriniam pasauliui. Ilgą laiką bet kuris IT profesionalų pastatas, beveik bet koks prie interneto prijungtas tinklas, savaime suprantamu dalyku sudarė DMZ. Bet debesis visa tai pakeitė.
Papildomos įmonės saugos priemonės, kurių imtasi 2017 m
Jei vis dar naudojate DMZ, tuomet pamatysite, kad tai tipiškas tinklo segmentų pavyzdys. Atidžiai apžiūrėkite ir paprastai rasite ugniasienių ir maršrutizatorių derinį. Daugeliu atvejų DMZ sukuria krašto apsaugos įrenginys (paprastai ugniasienė), kurį vėliau sukuria kitas maršrutizatorius arba ugniasienė, sauganti vartus į vidinį tinklą.
Nors daugumai organizacijų nebereikia DMZ, kad apsisaugotų nuo išorinio pasaulio, vertingų skaitmeninių gėrybių atskyrimo nuo likusio tinklo dalis vis dar yra stipri saugumo strategija. Jei DMZ mechanizmą taikote visiškai vidiniu pagrindu, vis dar yra prasmingų atvejų. Vienas iš pavyzdžių yra prieigos prie vertingų duomenų saugyklų, prieigos kontrolės sąrašų ar panašių lobių saugyklų apsauga; norėsite, kad visi potencialūs pašaliniai vartotojai peršoktų per kuo daugiau papildomų langelių prieš jiems pasiekiant.
Kaip veikia DMZ
DMZ veikia taip: bus kraštinė ugniasienė, kuri susidurs su atviro interneto siaubu. Po to bus DMZ ir dar viena ugniasienė, sauganti jūsų įmonės vietinį tinklą (LAN). Už šios ugniasienės bus jūsų vidinis tinklas. Pridėję šį papildomą tinklą, galite įdiegti papildomus saugos sluoksnius, kurie, norint patekti į jūsų faktinį vidaus tinklą, turės nugalėti netinkamą turinį - ten, ko gero, viską taip pat apima ne tik tinklo prieigos valdikliai, bet ir galinių taškų apsaugos rinkiniai.
Tarp pirmosios ir antrosios ugniasienės paprastai rasite jungiklį, užtikrinantį tinklo ryšį su serveriais ir įrenginiais, kurie turi būti prieinami internete. Jungiklis taip pat suteikia ryšį su antrąja ugniasiene.
Pirmoji užkarda turėtų būti sukonfigūruota taip, kad srautas, kuris turi pasiekti jūsų vidinį LAN ir DMZ serverius, būtų leidžiamas tik. Vidinė ugniasienė turėtų leisti srautą tik per tam tikrus prievadus, kurie yra būtini jūsų vidaus tinklo veikimui.
DMZ turėtumėte sukonfigūruoti savo serverius, kad jie priimtų srautą tik tam tikruose prievaduose ir priimtų tik konkrečius protokolus. Pvz., Norėsite apriboti srautą 80 uoste, naudodami tik „HyperText Transfer Protocol“ (HTTP). Taip pat norėsite sukonfigūruoti tuos serverius, kad jie teiktų tik tas funkcijas, kurios būtinos jų veikimui. Taip pat galbūt norėsite, kad jūsų DMZ serveriuose būtų stebima įsibrovimų aptikimo sistema (IDS), kad būtų galima aptikti ir sustabdyti kenkėjiškų programų ataką, kuri ją sukelia per ugniasienę.
Vidinė ugniasienė turėtų būti naujos kartos ugniasienė (NGFW), kuri tikrina srautą, einantį pro atvirus ugniasienės prievadus, taip pat ieško įsibrovimų ar kenkėjiškų programų požymių. Tai yra ugniasienė, sauganti jūsų tinklo karūnos brangakmenius, todėl tai nėra vieta, kur nugrimzti. NGFW gamintojai yra „Barracude“, „Check Point“, „Cisco“, „Fortinet“, „Juniper“ ir „Palo Alto“.
Eterneto prievadai kaip DMZ prievadai
Mažesnėms organizacijoms yra dar vienas pigesnis metodas, kuris vis tiek užtikrins DMZ. Daugelyje namų ir smulkaus verslo maršrutizatorių yra funkcija, leidžianti vieną iš eterneto prievadų priskirti DMZ prievadui. Tai leidžia į tą prievadą įdėti tokį įrenginį, kaip žiniatinklio serveris, kuriame jis gali bendrinti jūsų IP adresą, bet taip pat būti prieinamas išoriniam pasauliui. Nereikia nė sakyti, kad šis serveris turėtų būti kiek įmanoma užrakintas ir jame turėtų veikti tik būtiniausios paslaugos. Norėdami išplėsti savo segmentą, prie to prievado galite pridėti atskirą jungiklį ir DMZ turėti daugiau nei vieną įrenginį.
Tokio nurodyto DMZ prievado naudojimo neigiama pusė yra ta, kad jūs turite tik vieną gedimo tašką. Nors dauguma šių maršrutizatorių taip pat turi integruotą užkardą, jie paprastai neapima viso NGFW funkcijų rinkinio. Be to, jei pažeidžiamas maršrutizatorius, tai yra jūsų tinklas.
Nors maršrutizatoriaus pagrindu veikiantis DMZ veikia, tikriausiai jis nėra toks saugus, kaip norite. Bent jau reikėtų apsvarstyti galimybę už jos pridėti antrą ugniasienę. Tai kainuos šiek tiek papildomai, tačiau beveik nekainuos tiek, kiek bus padaryta dėl duomenų pažeidimo. Kita esminė tokios sąrankos pasekmė yra tai, kad ją administruoti yra sudėtingiau ir, atsižvelgiant į tai, kad mažesnės įmonės, kurios gali naudoti šį metodą, paprastai neturi IT personalo, galite pasikonsultuoti su konsultantu, kuris nustatytų ir valdytų tai laikas nuo laiko.
DMZ reikalavimas
- Geriausios VPN paslaugos 2019 m. Geriausios VPN paslaugos 2019 m
- Geriausia 2019 m. Teikiama galinio taško apsaugos ir saugos programinė įranga Geriausia 2019 m
- Geriausia tinklo stebėjimo programinė įranga 2019 m. Geriausia tinklo stebėjimo programinė įranga 2019 m
Kaip minėta anksčiau, nerasite per daug DMZ, vis dar važiuojančių gamtoje. Priežastis ta, kad DMZ buvo skirtas užpildyti funkciją, kuri šiandien yra vykdoma debesyje, vykdant didžiąją dalį verslo funkcijų. Kiekviena jūsų diegiama „SaaS“ programa ir visi jūsų prieglobos serveriai iš išorės nukreiptą infrastruktūrą perkelia iš duomenų centro į debesį, o DMZ - visi kartu. Tai reiškia, kad galite pasirinkti debesies paslaugą, paleisti egzempliorių, kuriame yra interneto serveris, ir apsaugoti tą serverį naudodamiesi debesies teikėjo užkarda ir esate pasiruošęs. Prie vidinio tinklo nereikia pridėti atskirai sukonfigūruoto tinklo segmento, nes vis tiek viskas vyksta kitur. Be to, tas kitas funkcijas, kurias galite naudoti su DMZ, taip pat galite rasti debesyje, ir eidami tuo keliu būsite dar saugesni.
Vis dėlto, kaip bendra saugumo taktika, tai visiškai perspektyvi priemonė. Sukūrę DMZ stiliaus tinklo segmentą už užkardos, gaunate tas pačias pranašumus, kaip ir naudodamiesi vienu iš savo LAN tinklų ir internetu: kitas segmentas reiškia didesnę apsaugą, jei norite priversti blogiukus įsiskverbti, kad jie galėtų patekti į ko jie iš tikrųjų nori. Ir kuo daugiau jie turi dirbti, tuo ilgiau jūs ar jūsų grėsmių aptikimo ir reagavimo sistema turės juos pastebėti ir reaguoti.
