Kazalo:
Video: Удалил вирус майнер в 2018 году, как удалить вирус который грузит систему. (November 2024)
Najboljši primer demilitariziranega območja (DMZ) je danes močno zaščiten pas v Koreji. Območje na obeh straneh meje med Severno Korejo in Južno Korejo je namenjeno temu, da vsak narod prepreči, da bi slučajno začel drugo vojno. DMZ je pri računalništvu pojemu podoben, ker zagotavlja mesto, ki neupravičenega spleta interneta ne zajema iz notranjega omrežja vaše organizacije, hkrati pa ponuja storitve zunanjemu svetu. Dolgo časa je katera koli IT-strokovna zgradba skoraj vsakega z internetom povezanega omrežja kot samoumevno pripravila DMZ. Toda oblak je vse to spremenil.
Sprejeti dodatni varnostni ukrepi za podjetje 2017
Če imate DMZ še vedno v uporabi, boste ugotovili, da gre za tipičen primer segmentacije omrežja. Poglejte natančno in običajno boste našli kombinacijo požarnih zidov in usmerjevalnikov. V večini primerov bo DMZ ustvaril robno varnostno napravo (ponavadi požarni zid), ki jo nato podpre drugi usmerjevalnik ali požarni zid, ki varuje vrata v notranje omrežje.
Medtem ko večina organizacij ne potrebuje več DMZ-ja za zaščito pred zunanjim svetom, je koncept ločevanja dragocenih digitalnih dobrot od preostalega omrežja še vedno močna varnostna strategija. Če uporabljate mehanizem DMZ na povsem notranji osnovi, potem še vedno obstajajo primeri uporabe, ki so smiselni. En primer je zaščita dostopa do dragocenih shramb podatkov, seznamov nadzora dostopa ali podobnih zakladnic; boste želeli, da morebitni nepooblaščeni uporabniki skočijo skozi čim več dodatnih obročkov, preden dobijo dostop.
Kako deluje DMZ
DMZ deluje takole: Obstajal bo obrobni požarni zid, ki se sooča z grozotami odprtega interneta. Potem bo DMZ in še en požarni zid, ki ščiti lokalno omrežje (LAN) vašega podjetja. Za tem požarnim zidom bo vaša notranja mreža. Z dodajanjem tega dodatnega vmesnega omrežja lahko implementirate dodatne varnostne plasti, ki jih bodo morale napačne vsebine premagati, preden bodo lahko prišle do vašega dejanskega notranjega omrežja - kjer vse verjetno tudi ne pokrivajo samo nadzor dostopa do omrežja, temveč tudi zaščitni paketi končnih točk.
Med prvim požarnim zidom in drugim običajno najdete stikalo, ki omogoča omrežno povezavo s strežniki in napravami, ki morajo biti dostopne do interneta. Stikalo omogoča tudi povezavo z drugim požarnim zidom.
Prvi požarni zid mora biti konfiguriran tako, da dovoljuje samo promet, ki mora doseči vaš notranji LAN in strežnike v DMZ. Notranji požarni zid mora omogočati promet le prek določenih vrat, ki so potrebna za delovanje vašega notranjega omrežja.
V DMZ morate svoje strežnike konfigurirati tako, da sprejemajo promet le na določenih vratih in sprejemajo samo določene protokole. Na primer, želeli boste omejiti promet na vratih 80 samo na protokol HyperText Transfer Protocol (HTTP). Prav tako boste želeli te strežnike konfigurirati tako, da bodo izvajali samo tiste storitve, ki so potrebne za njihovo delovanje. Morda boste želeli imeti tudi sistem za zaznavanje vdorov (IDS), ki spremlja strežnike v strežniku v vašem DMZ-ju, tako da lahko napad zlonamerne programske opreme, ki jo povzroči skozi požarni zid, zaznate in zaustavite.
Notranji požarni zid mora biti požarni zid nove generacije (NGFW), ki izvaja preglede vašega prometa, ki gredo skozi odprta vrata v požarnem zidu in išče tudi vdore ali zlonamerne programske opreme. To je požarni zid, ki ščiti krošnje draguljev v vaši mreži, tako da ni kraj, da bi se tega lotili. Izdelovalci NGFW so med drugim Barracude, Check Point, Cisco, Fortinet, Juniper in Palo Alto.
Ethernet vrata kot vrata DMZ
Za manjše organizacije obstaja še en manj drag pristop, ki bo še vedno zagotavljal DMZ. Številni usmerjevalniki doma in malih podjetij vključujejo funkcijo, ki vam omogoča, da eno od vrat Ethernet označite kot vrata DMZ. To vam omogoča, da napravo, kot je spletni strežnik, postavite na to pristanišče, kjer lahko deli vaš IP naslov, vendar je na voljo tudi zunanjemu svetu. Ni treba posebej poudarjati, da bi moral biti ta strežnik čim bolj zaklenjen in da deluje samo nujno potrebne storitve. Če želite obdelovati svoj segment, lahko na to vrata priključite ločeno stikalo in v DMZ imate več naprav.
Slaba stran uporabe tako imenovanih vrat DMZ je, da imate samo eno točko okvare. Čeprav večina teh usmerjevalnikov vključuje tudi vgrajen požarni zid, običajno ne vključujejo celotnega nabora funkcij NGFW. Poleg tega, če je usmerjevalnik pokvarjen, potem je tako tudi vaše omrežje.
Čeprav DMZ, ki temelji na usmerjevalniku, deluje, najbrž ni tako varen, kot želite. Vsaj raje razmislite o dodajanju drugega požarnega zidu za njim. To bo stalo malo več, vendar ne bo stalo skoraj toliko, kot bo kršitev podatkov. Druga pomembna posledica takšne namestitve je, da je skrbništvo zahtevnejše in glede na to, da manjša podjetja, ki bi lahko uporabljala ta pristop, običajno nimajo osebja za IT, boste morda želeli angažirati svetovalca, ki bi to nastavil in nato upravljal od časa do časa.
Zahteva za DMZ
- Najboljše storitve VPN za leto 2019 Najboljše storitve VPN za leto 2019
- Najboljša programska oprema za zaščito in zaščito končne točke za leto 2019 Najboljša programska oprema za zaščito in zaščito končnih točk za leto 2019
- Najboljša programska oprema za nadzor omrežja za leto 2019 Najboljša programska oprema za nadzor omrežja za leto 2019
Kot smo že omenili, v divjini še vedno ne boste našli preveč DMZ-ja. Razlog je v tem, da je bil DMZ namenjen zapolnitvi funkcije, ki jo danes v oblaku upravlja velika večina poslovnih funkcij. Vsaka aplikacija SaaS, ki jo vgradite, in vsak strežnik, ki ga gostite, se premaknete zunaj obrnjene infrastrukture iz vašega podatkovnega centra in v oblak, DMZ-ji pa so šli na pot. To pomeni, da lahko izberete storitev v oblaku, zaženete primerek, ki vključuje spletni strežnik, in ga zaščitite s požarnim zidom ponudnika oblakov in nastavite. Ni vam treba dodati notranjega konfiguriranega omrežnega segmenta v vaše notranje omrežje, saj se tako ali tako vse dogaja drugje. Poleg tega so v oblaku na voljo tudi druge funkcije, ki jih lahko uporabljate z DMZ, in tako boste še bolj varni.
Kljub temu je kot splošna varnostna taktika povsem izvedljiv ukrep. Ustvarjanje omrežnega segmenta v obliki DMZ za vašim požarnim zidom prinaša enake koristi kot nekoč, ko ste se med enim in drugim povezali z omrežjem LAN: drug segment pomeni večjo zaščito, ki jo lahko prisilijo, da bodo negativci morali prodreti, preden lahko pridejo kar si resnično želijo. In bolj ko morajo delovati, dlje morate vi ali vaš sistem za odkrivanje groženj in odziv nanje opaziti in reagirati.
