DMZ

Основным преимуществом DMZ является обеспечение внутренней сети дополнительным уровнем безопасности путем ограничения доступа к конфиденциальным данным и серверам. DMZ позволяет посетителям сайтов получать определенные услуги, обеспечивая буфер между ними и частной сетью организации. В результате DMZ также предлагает дополнительные преимущества в области безопасности, такие как:

1. Обеспечение контроля доступа: Предприятия могут предоставлять пользователям доступ к услугам за пределами периметров своей сети через общедоступный интернет. DMZ обеспечивает доступ к этим сервисам при внедрении сегментации сети, что затрудняет проникновение несанкционированного пользователя в частную сеть. DMZ также может включать в себя прокси-сервер, который централизует внутренний трафик и упрощает мониторинг и запись этого трафика.
2. Предотвращение сетевых разведывательных работ: обеспечивая буфер между интернетом и частной сетью, DMZ предотвращает выполнение злоумышленниками разведывательных работ, которые они проделывают в целях поиска потенциальных поставщиков. Серверы DMZ открыты для общественности, но предлагают еще один уровень безопасности с помощью межсетевого экрана, который не позволяет злоумышленнику видеть информацию внутри сети. Даже в случае взлома системы DMZ внутренний межсетевой экран отделяет частную сеть от DMZ, чтобы обеспечить ее безопасность и усложнить внешнюю разведку.
3. Блокировка спуфинга по IP-протоколу: злоумышленники могут попытаться получить доступ к системам, подделывая IP-адрес и исполняя роль утвержденного устройства, подключенного к сети. DMZ может обнаружить и приостановить такие попытки спуфинга, поскольку другая служба проверяет законность IP-адреса. DMZ также обеспечивает сегментацию сети, чтобы создать пространство для организованного трафика и общедоступных услуг, доступ к которым будет осуществляться вне внутренней частной сети.

Услуги DMZ включают в себя:

1. Серверы DNS
2. Серверы FTP
3. Почтовые серверы
4. Прокси-серверы
5. Веб-серверы

DMZ — это «широко открытая сеть», но существует несколько подходов к проектированию и архитектуре, которые защищают ее. DMZ может быть разработана несколькими способами: от подхода с одним межсетевым экраном до наличия двух и нескольких межсетевых экранов. Большинство современных архитектур DMZ используют двойные брандмауэры, которые можно расширить для разработки более сложных систем.

1. Один брандмауэр: DMZ с одним брандмауэром требует трех или более сетевых интерфейсов. Первый — это внешняя сеть, которая подключает общедоступное интернет-соединение к брандмауэру. Второй формирует внутреннюю сеть, а третий подключается к DMZ. Различные правила контролируют и управляют трафиком, которому разрешен доступ к DMZ и ограничивают подключение к внутренней сети.
2. Двойной межсетевой экран: развертывание двух межсетевых экранов с DMZ между ними, как правило, является более безопасным вариантом. Первый брандмауэр допускает только внешний трафик к DMZ, а второй — только трафик, поступающий из DMZ во внутреннюю сеть. Злоумышленнику пришлось бы взломать оба межсетевых экрана, чтобы получить доступ к локальной сети организации.

Организации также могут точно настроить средства контроля безопасности для различных сегментов сети. Это означает, что система обнаружения вторжений (IDS) или система предотвращения вторжений (IPS) в DMZ может быть настроена на блокировку любого трафика, кроме запросов протокола передачи гипертекста (HTTPS) на порт 443 протокола управления передачей (TCP).

Сети DMZ являются центральным компонентом защиты корпоративных сетей с момента внедрения межсетевых экранов. Они защищают конфиденциальные данные, системы и ресурсы организаций, сохраняя внутренние сети отдельно от систем, которые могут быть затронуты злоумышленниками. DMZ также позволяют организациям контролировать и снижать уровни доступа к конфиденциальным системам.

Предприятия все чаще используют контейнеры и виртуальные машины (ВМ) для изоляции своих сетей или конкретных приложений от остальной части своих систем. Рост облачных технологий означает, что многим компаниям больше не нужны внутренние серверы. Они также перенесли большую часть своей внешней инфраструктуры в облачное хранилище с помощью приложений «ПО как услуга» (SaaS). 

Например, облачный сервис, такой как Microsoft Azure, позволяет организации, которая запускает приложения на стороне потребителя и в виртуальных частных сетях (VPN), использовать гибридный подход с DMZ, расположенным между ними. Этот метод также может использоваться, когда исходящий трафик требует аудита или управления им между локальным центром обработки данных и виртуальными сетями.

Кроме того, DMZ доказали свою эффективность в противодействии рискам безопасности, связанным с устройствами Интернета вещей (IoT) и операционными технологиями (OT), которые делают производство более интеллектуальным, но создают обширную поверхность угроз. Это связано с тем, что ОТ-оборудование не было разработано для борьбы с кибератаками или восстановления после них, как это было в устройствах Интернета вещей, что представляет значительный риск для критически важных данных и ресурсов организаций. DMZ обеспечивает сегментацию сети для снижения риска атаки, которая может нанести ущерб промышленной инфраструктуре.