Qualsiasi app nella DMZ è nella migliore delle ipotesi solo semi-attendibile. Idealmente le app nella DMZ non dovrebbero avere accesso alla rete interna, i dati dovrebbero essere spinti non tirati, quindi i firewall devono solo aprirsi dalla rete più sicura a quella meno sicura, non viceversa.
Se ciò non è possibile per qualche motivo (e dovrebbe essere una buona ragione!), è necessario essere assolutamente certi che l'app DMZ abbia il minimo accesso possibile a qualsiasi cosa.
Inoltre, in realtà non vuoi nemmeno che qualcosa tocchi se puoi evitarlo. Ogni connessione è un potenziale rischio.
Nella maggior parte dei casi, creerai anche una rete parallela per il traffico di gestione in modo da poter limitare e ridurre ulteriormente le finestre di attacco disponibili.
Blocco delle minacce interne
Limitare le reti interne per bloccare le minacce interne è un'idea sensata ma non perdere di vista il valore dei dati e i relativi rischi. La maggior parte delle forme di sicurezza ha un costo forse di $ $$$ ma forse nelle spese generali di amministrazione e nelle spese generali degli utenti, quindi sii ragionevole.
Detto ciò, è molto importante separare le risorse con valori e sicurezza diversi. Pertanto, i dati di elevata sicurezza come l'infrastruttura PKI di base o le cartelle cliniche dei pazienti, ecc., Dovrebbero essere tenuti separati da dati meno importanti come le informazioni sulla gestione (dipende dalla vostra attività). La segmentazione dei dati in questo modo può effettivamente ridurre i costi in alcuni casi perché, anche se i costi di infrastruttura e amministrazione possono essere più elevati, i costi di protezione fisica complessivi potrebbero essere inferiori rispetto a dover proteggere tutto.
Per questo non esiste una soluzione valida per tutti.
Un'altra considerazione. I controlli interni non si limitano a fermare le minacce interne. Ricorda che la maggior parte delle intrusioni ai dati di grandi aziende non sono state scoperte per 12 o più e spesso vengono scoperte solo da parti esterne. È pratica comune per i cattivi irrompere in qualcosa di innocuo e poi lentamente risalire la catena alimentare, mantenendosi al di sotto del radar di rilevamento delle intrusioni fino in fondo.