DMZからLANへのポートを開く必要がある場合、どの時点で分離する価値がなくなりますか?
1つ以上のサーバー/サービス(FTP、HTTP、SMTPなど)を備えたDMZ)があり、一般的なサーバーサービス(ファイル共有、Active Directory、データベースサーバーなど)を備えたLANがある場合。
サービスとリソースの統合によっては、DMZとLANの間のファイアウォールで多くの開いているポートが存在する可能性があります。どの時点で、DMZを使用しないことを検討しますか?
ありがとう!
DMZを使用しないことを検討する現実的な測定はありません。セキュリティを使用すると、取得できるすべての余分なビットが役立ちます。考えられる攻撃の量を制限するという考え方です。 管理者として、実装が許可されているセキュリティのために戦わなければならないことが多いので、取得できるものは何でも取ってください。 LAN内のホストをDMZに対して完全に開く必要がある場合でも、1つのホストはすべてのホストよりもはるかに優れています。
あなたが言ったことからの現実的な例は、DMZにフロントエンドExchangeサーバーを配置し、LANにバックエンドとActiveDirectoryを配置することです。これらはまだDMZから到達できますが、少なくとも通過するための可能な方法は制限されています。次に、これらの特定のサービスに関連するセキュリティ通知を監視することに力を注ぐことができます。
DMZの目標は、通常、信頼できないネットワークを信頼できるネットワークから分離することです。ファイアウォールのレベルに応じて、ポートを開くだけでなく、接続のさまざまな側面を制御できます。
私の経験では、企業は、慎重に検討することを除いて、信頼できない接続が信頼できるリソースと直接通信することを防ぐポリシーを導入しています。たとえば、DMZのリバースプロキシサーバーは、信頼できるリソースからデータが提供される前に、信頼できない接続の事前認証を提供できます。
考慮に値するもう1つのポイントは、ポートを開いた場合でも、それらのポートを介して通信できるデバイスを制御できることです。たとえば、DMZのWebサーバーと信頼できるnewtworkのSQLサーバーの間のSQL通信を許可するためにポートを開く必要があるかもしれませんが、それを流れるトラフィックを制限することができますWebサーバーとSQLサーバーのみにポートします。
最終的には、アプリケーションの要件を満たすために最小限のアクセスレベルを提供する境界ポリシーを作成するのはあなた次第です。
「DMZ」という用語は、特に信頼できないものを投げ入れる単一のゾーンがあることを意味するため、嫌いです。実際、多くの場所では、ファイアウォール上の別のインターフェイスにランダムなスイッチまたはハブが接続されており、それを「DMZ」と呼んでいます。
私は、個々のサービスを個々のゾーン(通常、ファイアウォールのインターフェイスとファイアウォールに接続されたスイッチのVLANの混合)に分離することを好みます。そこから、サービスごと/サーバーごとに、ACL /ファイアウォールルールを使用した対称ナッティングまたは直接ルーティングを組み合わせて実行します。 FTPサーバーの場合は、ftp関連のアクセス権を取得します。 DNSサーバー?ポート53などを取得します。しかし、ftpサーバーとDNSサーバーを同じブロードキャストドメインに配置することはありません。
私にとって「DMZ」のポイントは、ほとんどの場合、トラフィックを監視および規制するための単一のポイントとして機能することであり、トラフィックをブロックするだけではありません。サービスに基づいてポリシーを設定し、ロギング、モニタリング、およびフィルタリングを設定するための単一のチョークポイントがあります。
もちろん、何らかの理由で企業ネットワークに直接NAT変換する必要が生じた場合でも、少なくとも、トラフィックを取り込む特定のルールのログを監視し、その特定のホストを他のホストよりも少し厳密に監視できます。 。ただし、理想的には、そのサーバーをDMZに移動し、企業ゾーン内からそのサービスゾーンへのアクセスを、外部から許可されるよりも多く許可することができます。これにより、100%の可視性が得られます。そのホストによって生成されたトラフィックで、インターネットに面したサービスによって侵害された場合、トラフィックログからのものであることがすぐにわかります。
一部のサービスをDMZに移動するべきではありませんか?どこからでもLANに到達できないようにしてください。次に、DMZ領域でセキュリティを管理します。