Permette la richiesta di servizi interni solo da specifici indirizzi IP

Naviga le tue risposte
0

Supponiamo di avere un'app sui server DMZ. L'app deve accedere ai servizi interni installati nella rete interna. Il firewall interno tra la DMZ e la rete interna ha regole per consentire il traffico solo da sorgenti specifiche (server DMZ) a porte specifiche (per i servizi specifici).

Blocca anche eventuali richieste dalla rete interna? Ad esempio, avere una lista bianca di IP interni consentiti per chiamare tali servizi e altri saranno bloccati dalla prospettiva della minaccia interna. Quella lista bianca sarà probabilmente vuota per PROD perché per PROD, non c'è assolutamente alcun motivo per l'accesso ad altri sistemi (diverso dal server DMZ).

Questa è la pratica generale in natura? Qualche suggerimento migliore?

    
posta Ashish Gupta 12.09.2016 - 21:17
fonte

1 risposta

1

Qualsiasi app nella DMZ è nella migliore delle ipotesi solo semi-attendibile. Idealmente le app nella DMZ non dovrebbero avere accesso alla rete interna, i dati dovrebbero essere spinti non tirati, quindi i firewall devono solo aprirsi dalla rete più sicura a quella meno sicura, non viceversa.

Se ciò non è possibile per qualche motivo (e dovrebbe essere una buona ragione!), è necessario essere assolutamente certi che l'app DMZ abbia il minimo accesso possibile a qualsiasi cosa.

Inoltre, in realtà non vuoi nemmeno che qualcosa tocchi se puoi evitarlo. Ogni connessione è un potenziale rischio.

Nella maggior parte dei casi, creerai anche una rete parallela per il traffico di gestione in modo da poter limitare e ridurre ulteriormente le finestre di attacco disponibili.

Blocco delle minacce interne

Limitare le reti interne per bloccare le minacce interne è un'idea sensata ma non perdere di vista il valore dei dati e i relativi rischi. La maggior parte delle forme di sicurezza ha un costo forse di $ $$$ ma forse nelle spese generali di amministrazione e nelle spese generali degli utenti, quindi sii ragionevole.

Detto ciò, è molto importante separare le risorse con valori e sicurezza diversi. Pertanto, i dati di elevata sicurezza come l'infrastruttura PKI di base o le cartelle cliniche dei pazienti, ecc., Dovrebbero essere tenuti separati da dati meno importanti come le informazioni sulla gestione (dipende dalla vostra attività). La segmentazione dei dati in questo modo può effettivamente ridurre i costi in alcuni casi perché, anche se i costi di infrastruttura e amministrazione possono essere più elevati, i costi di protezione fisica complessivi potrebbero essere inferiori rispetto a dover proteggere tutto.

Per questo non esiste una soluzione valida per tutti.

Un'altra considerazione. I controlli interni non si limitano a fermare le minacce interne. Ricorda che la maggior parte delle intrusioni ai dati di grandi aziende non sono state scoperte per 12 o più e spesso vengono scoperte solo da parti esterne. È pratica comune per i cattivi irrompere in qualcosa di innocuo e poi lentamente risalire la catena alimentare, mantenendosi al di sotto del radar di rilevamento delle intrusioni fino in fondo.

    
risposta data 12.09.2016 - 21:23
fonte

Leggi altre domande sui tag

I CSPRNG hanno una lunghezza massima del seme in ingresso per il rapporto lunghezza uscita? DC server integrato con DNS che tenta di contattare il nome host DNS in blacklist