A DMZ, o non a DMZ

Inserisci nella DMZ i server a cui è necessario accedere dall'esterno. Dal momento che sono raggiungibili dal mondo esterno (che si presume ostile), questi server sono potenzialmente soggetti a dirottamento da parte di aggressori. La DMZ è una area di contenimento in modo che un server sovvertito non abbia accesso immediato ai tuoi dati più preziosi (che presumibilmente saranno conservati nella rete interna).

I tuoi server AD e SQL sono pensati per essere utilizzati solo dalle macchine della tua rete, non dalle macchine esterne, quindi li metti nella rete interna. Il tuo server Web è pensato per essere contattato da client esterni, quindi inseriscilo nella DMZ. Allo stesso modo, il server DNS che pubblica nel mondo esterno il tuo dominio (ad esempio l'indirizzo IP del tuo server Web) è anche accessibile dall'esterno, quindi DMZ.

Non ci sono regole senza eccezioni. Occasionalmente, è necessario disporre di un percorso dati dall'esterno verso la rete interna. In genere, le e-mail provengono da Internet ma in definitiva devono apparire sui sistemi desktop. Normalmente si desidera archiviare le e-mail in arrivo nei server che si trovano nella rete interna (questo è il posto presunto più sicuro nella rete) ma se si esegue il proprio server SMTP (per le e-mail in arrivo ), allora uno deve essere nella DMZ.

Dipende molto dalla tua situazione esatta, ma la regola generale è semplice: DMZ è per ciò che può essere contattato dall'esterno .

Generalmente l'idea è di determinare quale hardware ti fidi e quale hardware non lo fai. Le cose che sono altamente esposte e non contengono dati sensibili non hanno bisogno di essere attendibili e possono quindi vivere all'esterno. Se i dati sensibili di un server web sono forniti da un DB, il server Web stesso può essere relativamente non attendibile, ma si rompe in molti casi come HTTPS in cui è necessario mantenere una certa quantità di fiducia nel server Web e quindi dovrebbe anche essere il più isolato possibile, anche se forse anche tagliato dalla rete interna.

La chiave che stai osservando è una combinazione di quanto è necessario l'accesso esternamente rispetto alla quantità di rischio che tale esposizione porta alla tua rete principale. Stai cercando di mitigare tale rischio aggiungendo ulteriori barriere che separano i sistemi.

Scusa se non è un elenco esatto, ma si spera che chiarisca il concetto abbastanza da rendere chiare le risposte (e non c'è sempre una risposta "perfetta" o "corretta". varie esigenze conflittuali come l'usabilità (che consente ai buoni utenti di entrare) e il controllo degli accessi (tenendo lontani gli utenti cattivi).

Lascia che ti aiuti. Dovresti essere più preoccupato se esponi accidentalmente le risorse nel punto sbagliato solo perché quando non hai capito come funziona l'intero sistema. Considera questa analogia. Hai un castello e ospita il re e i suoi uomini (governanti di sottodomini) queste entità sono ospitate nella barriera di protezione più interna (internal(internal)) e poi ci sono persone che vengono dall'amministrazione, consiglieri un gruppo di persone che don ' Godetevi il privilegio agli stessi livelli che i ragazzi godono della cerchia più intima o il re per una semplice ragione, non gli piace che il gruppo sia vicino a lui. Quindi queste persone rimangono a less-trusted(internal).

Nel contesto della sicurezza, il suo livello di fiducia chiamato e la valutazione della CIA, le attività con un rating CIA più elevato di solito impiegano controlli di sicurezza più elevati e collocati dove è più protetto. Tornando all'analogia, c'è un compromesso dello strato più esterno del castello, e c'è un certo protocollo in cui da questi freebies si muove all'interno della zona del re, diciamo seguire il protocollo di controllo di routine, trapani ecc. Un patrimonio compreso su quello strato esterno significa gratis, e come l'accesso autorizzato ai più privilegiati (il re e l'equipaggio) quelli con un alto livello di fiducia.

Questo è il modo in cui dovresti pensare anche tu, basta mapparlo con i requisiti aziendali e sei a posto. Dovresti capire che si tratta di TMG o di qualsiasi altro servizio che esponi al parametro esterno assicurati di essere preparato quando il combattimento si rompe; questi ragazzi sarebbero stati colpiti per primi, a volte con difficoltà ea volte in silenzio. * Quindi una buona DMZ è ciò che isola la copertura degli attacchi (la fuga di sicurezza) fornendo i canali autorizzati di funzionalità. * Come osservatore attento dovresti sempre considerare le minacce che questi il paesaggio cambia frequentemente. Devi essere in punta di piedi.