Dal punto di vista del design, è una buona idea mettere i server che devono eseguire connessioni in uscita verso Internet in una DMZ separata?
Questi server sarebbero server come filtri web, server WSUS, ecc.
Non è inaudito. Ho impostato molti in questo modo. Dipende da quanto sono sensibili i tuoi sistemi.
Mi piace che tu abbia detto "dal punto di vista del design". Parte della sicurezza è un buon design, anche se qualcosa "teoricamente non dovrebbe accadere" non lo rende impossibile. Succede l'hacking. La stratificazione e la segregazione sono un modo per introdurre punti di strozzatura, oltre a rendere i firewall più facili da controllare e, infine, per proteggersi da errori umani e errata configurazione.
DMZ non è solo per i servizi in entrata . I sistemi estremamente sensibili limitano anche l'accesso a Internet in uscita, quindi se si dispone di un gruppo separato di server che richiedono l'accesso in uscita, si d vuoi metterli su una DMZ separata per separarli invece di mescolare ACL e potenzialmente esponendo la tua rete privata. Al minimo, considera le VLAN separate.
Molti sistemi finanziari, medici, di telecomunicazione e governativi sensibili sono su reti private che non sono NATed o routable verso l'esterno. Alcuni hanno server applicazioni front-end su una DMZ che hanno regole firewall che consentono il punch-through da DMZ - > Privato, ma alcuni non hanno nemmeno tanto.
Per coloro che non sono a conoscenza, una zona DMZ - demilitarizzata nell'informatica è una rete perimetrale tra la LAN locale e Internet, utilizzati per alloggiare apparecchiature o software in grado di gestire il traffico esterno in entrata. Di conseguenza, si applica solo se potenzialmente hai servizi pubblici (cioè una email o un server web) ospitati nella stessa rete di cose che non vuoi essere pubblicamente accessibili (cioè il tuo computer locale o la tua intranet aziendale)
Nel tuo caso, ti riferisci a servizi che effettuano solo chiamate in uscita o simmetriche a Internet aperto (cioè, effettui solo chiamate in uscita e di solito ti aspetti una risposta da uno specifico server remoto). In questa situazione, ovviamente, c'è il rischio che si verifichi un qualche tipo di exploit (nel caso di WSUS la connessione al server di aggiornamento di Windows viene dirottata, il DNS viene falsificato, ecc.) Ma è un rischio simile a qualsiasi macchina all'interno la rete.
Di conseguenza, direi che non c'è davvero molto senso inserire questi server in una DMZ.
MODIFICA: dipende da quanto sensibili siano i dati con cui stai trattando. Vedi risposta di mrjoltcola per ulteriori approfondimenti.
Leggi altre domande sui tag dmz