Sommario:
Video: What is a DMZ? (Demilitarized Zone) (Settembre 2024)
Il miglior esempio di zona demilitarizzata (DMZ) oggi è una striscia di terra pesantemente sorvegliata in Corea. È l'area su entrambi i lati del confine tra la Corea del Nord e la Corea del Sud che intende impedire a ogni nazione di iniziare accidentalmente una guerra con l'altra. Nell'informatica, una DMZ è simile nel concetto in quanto fornisce un luogo che mantiene il mondo non fidato di Internet fuori dalla rete interna della tua organizzazione, pur offrendo servizi al mondo esterno. Per molto tempo, qualsiasi professionista IT che ha costruito quasi ogni tipo di rete connessa a Internet ha messo insieme una DMZ. Ma il cloud ha cambiato tutto questo.
Altre misure di sicurezza aziendali adottate nel 2017
Se hai ancora una DMZ in funzione, troverai che è un tipico esempio di segmentazione della rete. Guarda da vicino e troverai generalmente una combinazione di firewall e router. Nella maggior parte dei casi, la DMZ verrà creata da un dispositivo di sicurezza perimetrale (di solito un firewall) che viene quindi eseguito il backup da un altro router o firewall che protegge le porte della rete interna.
Mentre la maggior parte delle organizzazioni non ha più bisogno di una DMZ per proteggersi dal mondo esterno, il concetto di separare preziosi gadget digitali dal resto della rete è ancora una potente strategia di sicurezza. Se si applica il meccanismo DMZ su una base interamente interna, ci sono ancora casi d'uso che hanno senso. Un esempio è la protezione dell'accesso a preziosi archivi di dati, elenchi di controllo degli accessi o tesori simili; vorrai che tutti i potenziali utenti non autorizzati saltino il maggior numero possibile di cerchi aggiuntivi prima di ottenere l'accesso.
Come funziona una DMZ
Una DMZ funziona in questo modo: ci sarà un firewall perimetrale che affronterà gli orrori di Internet aperto. Dopodiché sarà la DMZ e un altro firewall che proteggerà la tua LAN (local area network). Dietro quel firewall ci sarà la tua rete interna. Aggiungendo questa ulteriore rete intermedia, è possibile implementare livelli di sicurezza aggiuntivi che i malcontenti dovranno eliminare prima che possano raggiungere la propria rete interna effettiva, dove presumibilmente tutto è coperto non solo dai controlli di accesso alla rete ma anche dalle suite di protezione degli endpoint.
Tra il primo firewall e il secondo, normalmente troverai uno switch che fornisce una connessione di rete ai server e ai dispositivi che devono essere disponibili su Internet. Lo switch fornisce anche una connessione al secondo firewall.
Il primo firewall deve essere configurato per consentire solo il traffico che deve raggiungere la LAN interna e i server nella DMZ. Il firewall interno dovrebbe consentire il traffico solo attraverso porte specifiche necessarie per il funzionamento della rete interna.
Nella DMZ, è necessario configurare i server in modo da accettare il traffico solo su porte specifiche e accettare solo protocolli specifici. Ad esempio, si desidera limitare il traffico sulla porta 80 solo al protocollo HTTP (HyperText Transfer Protocol). Ti consigliamo inoltre di configurare quei server in modo che eseguano solo i servizi necessari per il loro funzionamento. Potresti anche voler avere un'attività di monitoraggio del sistema di rilevamento delle intrusioni (IDS) sui server nella tua DMZ in modo che un attacco di malware che attraversi il firewall possa essere rilevato e fermato.
Il firewall interno dovrebbe essere un firewall di nuova generazione (NGFW) che esegue ispezioni del traffico che attraversa le porte aperte del firewall e cerca anche indicazioni di intrusioni o malware. Questo è il firewall che protegge i gioielli della corona della tua rete, quindi non è il posto giusto per lesinare. I produttori di NGFW includono Barracude, Check Point, Cisco, Fortinet, Juniper e Palo Alto, tra gli altri.
Porte Ethernet come porte DMZ
Per le organizzazioni più piccole, esiste un altro approccio meno costoso che fornirà comunque una DMZ. Molti router domestici e di piccole imprese includono una funzione che consente di designare una delle porte Ethernet come una porta DMZ. Ciò ti consente di collocare un dispositivo come un web server su quella porta in cui può condividere il tuo indirizzo IP ma anche essere disponibile al mondo esterno. Inutile dire che questo server dovrebbe essere il più bloccato possibile e avere solo i servizi assolutamente necessari in esecuzione. Per arricchire il tuo segmento, puoi collegare uno switch separato a quella porta e avere più di un dispositivo nella DMZ.
L'aspetto negativo dell'uso di una tale porta DMZ designata è che hai solo un punto di errore. Anche se la maggior parte di questi router include anche un firewall incorporato, in genere non include l'intero set di funzionalità di un NGFW. Inoltre, se il router viene violato, lo è anche la tua rete.
Mentre una DMZ basata su router funziona, probabilmente non è così sicura come si desidera. Per lo meno, potresti prendere in considerazione l'idea di aggiungere un secondo firewall dietro di esso. Questo costerà un piccolo extra ma non costerà quasi quanto una violazione dei dati. L'altra conseguenza principale con una configurazione del genere è che è più complessa da amministrare e, considerando che le aziende più piccole che potrebbero utilizzare questo approccio in genere non hanno uno staff IT, potresti voler coinvolgere un consulente per configurarlo e quindi gestire di tanto in tanto.
Un requisito per la DMZ
- I migliori servizi VPN per il 2019 I migliori servizi VPN per il 2019
- Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019 Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019
- Il miglior software di monitoraggio della rete per il 2019 Il miglior software di monitoraggio della rete per il 2019
Come accennato in precedenza, non troverai troppe DMZ ancora in esecuzione in natura. Il motivo è che la DMZ era destinata a ricoprire una funzione che oggi viene gestita nel cloud per la stragrande maggioranza delle funzioni aziendali. Ogni app SaaS che distribuisci e tutti i server che ospita tutti spostano l'infrastruttura rivolta verso l'esterno fuori dal tuo data center e nel cloud e le DMZ sono andate avanti per il viaggio. Significa che puoi scegliere un servizio cloud, avviare un'istanza che include un server Web e proteggere quel server con il firewall del provider cloud e sei pronto. Non è necessario aggiungere un segmento di rete configurato separatamente alla rete interna, poiché tutto sta accadendo altrove. Inoltre, quelle altre funzioni che potresti utilizzare con una DMZ sono disponibili anche nel cloud e, andando così, sarai ancora più sicuro.
Tuttavia, come tattica di sicurezza generale, è una misura interamente praticabile. La creazione di un segmento di rete in stile DMZ dietro il firewall offre gli stessi vantaggi di quando ne eri schiacciato uno tra la tua LAN e Internet: un altro segmento significa più protezione che puoi costringere i cattivi a penetrare prima che possano arrivare a quello che vogliono veramente. E più devono lavorare, più a lungo tu o il tuo sistema di rilevazione e risposta alle minacce devi individuarli e reagire.
