In espansione alla mia domanda precedente che cosa si qualifica come accesso pubblico? Sto cercando di comprendere le intenzioni dei punti 1.3.1 e 1.3.2 e 1.3.3 dello standard PCI.
Ho quattro DMZ al mio attuale lavoro (usando una configurazione sidearm), e questo è più piccolo delle mie implementazioni precedenti. Questi sono sempre costruiti in un approccio di sicurezza top-down - una scatola di sicurezza più alta raggiunge sempre la DMZ e estrae le informazioni necessarie di cui ha bisogno o spinge i bit che devono essere accessibili al pubblico.
Ricevo totalmente l'idea di fermare e analizzare il traffico prima di passare a un sistema interno potenzialmente soffocante. La lingua in uso implica dei buchi nella direzione opposta. Implica anche l'uso di un motore di analisi all'interno della DMZ.
Forse quello che non capisco è come viene usato il termine DMZ. Le funzioni delineate molto sono più simili a ciò che viene fatto con un firewall a livello di applicazione:
Termination of IP connections at the DMZ provides opportunity for inspection and
restriction of source/destination, and/or inspection / blocking of content, thus
preventing unfiltered access between untrusted and trusted environments.
Termination of IP connections both inbound and outbound provides opportunity for
inspection and restriction of source/destination, and/or inspection / blocking of
content, thus preventing unfiltered access between untrusted and trusted
environments. This helps prevent, for example, malicious individuals from sending
data they've obtained from within your network out to an external untrusted server
in an untrusted network.
Queste descrizioni suonano esattamente come quello che TMG fa fuori dalla scatola.
Prendendo questo alla lettera, avrei una seconda scatola TMG che si trova all'interno della DMZ fornita dalla mia prima scatola TMG .. Mi sembra pazzesca. Sembra che lo standard sia stato scritto per una configurazione precedente, qualcosa come avere un PIX che blocca tutto il traffico e rimbalza tutto attraverso un secondo server che esegue qualcosa come ISA / Forefront che si trova all'interno della DMZ.
Per quanto posso immaginare, non ci sarebbe alcun vantaggio per la sicurezza di avere una scatola separata nella DMZ per questo uso la mia configurazione, a parte se ho una scatola Apache esterna e IIS all'interno (o viceversa).
Fornire alcune informazioni su come o perché interrompere queste connessioni in una DMZ anziché all'interno del firewall stesso sarebbe vantaggioso. Non lo vedo.