Là dmz chết? không hẳn

Ví dụ điển hình nhất về khu phi quân sự (DMZ) ngày nay là dải đất được bảo vệ nghiêm ngặt ở Hàn Quốc. Đó là khu vực ở hai bên ranh giới giữa Bắc Triều Tiên và Hàn Quốc nhằm mục đích giữ cho mỗi quốc gia không vô tình bắt đầu một cuộc chiến tranh với nhau. Trong điện toán, DMZ có khái niệm tương tự ở chỗ nó cung cấp một nơi giữ thế giới internet không tin cậy ra khỏi mạng nội bộ của tổ chức bạn, trong khi vẫn cung cấp dịch vụ cho thế giới bên ngoài. Trong một thời gian dài, bất kỳ tòa nhà chuyên nghiệp CNTT nào gần như bất kỳ loại mạng kết nối internet nào đều kết hợp DMZ như một điều tất nhiên. Nhưng đám mây đã thay đổi tất cả.

Lý do là đám mây đã làm giảm nhu cầu của hầu hết các công ty để lưu trữ các máy chủ web của riêng họ. Trước đây, nếu bạn có một máy chủ web nội bộ mở cửa cho công chúng, thì bạn sẽ muốn máy chủ đó sống trong DMZ của mình. Tương tự như vậy, bạn đã muốn máy chủ email của mình ở đó và bất kỳ máy chủ hướng ngoại nào khác, chẳng hạn như cổng truy cập từ xa, máy chủ xác thực, máy chủ proxy hoặc thậm chí có thể là máy chủ Telnet. Đây là tất cả các thiết bị phải có thể truy cập từ internet nhưng cung cấp dịch vụ từ tổ chức của bạn. Tất nhiên, ngày nay, hầu hết các công ty sử dụng các nhà cung cấp email được lưu trữ cùng với việc triển khai các ứng dụng Phần mềm dưới dạng dịch vụ (SaaS) làm cho các máy chủ web đối diện bên ngoài trong tủ dữ liệu của bạn không cần thiết.

Doanh nghiệp thực hiện các biện pháp bảo mật bổ sung 2017

Nếu bạn vẫn có DMZ hoạt động, thì bạn sẽ thấy đó là một ví dụ điển hình về phân khúc mạng. Nhìn kỹ và nhìn chung bạn sẽ tìm thấy một số kết hợp của tường lửa và bộ định tuyến. Trong hầu hết các trường hợp, DMZ sẽ được tạo bởi một thiết bị bảo mật cạnh (thường là tường lửa) sau đó được sao lưu bởi một bộ định tuyến hoặc tường lửa khác bảo vệ các cổng vào mạng bên trong.

Mặc dù hầu hết các tổ chức không còn cần DMZ để bảo vệ bản thân khỏi thế giới bên ngoài, khái niệm tách biệt các sản phẩm kỹ thuật số có giá trị khỏi phần còn lại của mạng vẫn là một chiến lược bảo mật mạnh mẽ. Nếu bạn áp dụng cơ chế DMZ trên cơ sở hoàn toàn bên trong, thì vẫn có những trường hợp sử dụng có ý nghĩa. Một ví dụ là bảo vệ quyền truy cập vào kho lưu trữ dữ liệu có giá trị, danh sách kiểm soát truy cập hoặc các kho báu tương tự; bạn sẽ muốn bất kỳ người dùng trái phép tiềm năng nào nhảy qua càng nhiều vòng càng tốt trước khi họ có quyền truy cập.

DMZ hoạt động như thế nào

DMZ hoạt động như thế này: Sẽ có một tường lửa cạnh phải đối mặt với sự khủng khiếp của Internet mở. Sau đó sẽ là DMZ và một tường lửa khác bảo vệ mạng cục bộ (LAN) của công ty bạn. Đằng sau tường lửa đó sẽ là mạng nội bộ của bạn. Bằng cách thêm mạng giữa này, bạn có thể triển khai các lớp bảo mật bổ sung mà các kẻ xấu sẽ cần phải đánh bại trước khi chúng có thể truy cập vào mạng nội bộ thực tế của bạn, nơi mọi thứ có lẽ cũng được bao phủ không chỉ bởi các điều khiển truy cập mạng mà còn cả các bộ bảo vệ điểm cuối.

Ở giữa tường lửa thứ nhất và thứ hai, thông thường bạn sẽ tìm thấy một bộ chuyển mạch cung cấp kết nối mạng tới các máy chủ và thiết bị cần có sẵn trên internet. Việc chuyển đổi cũng cung cấp một kết nối đến tường lửa thứ hai.

Tường lửa đầu tiên phải được cấu hình để chỉ cho phép lưu lượng truy cập cần đến mạng LAN nội bộ của bạn và các máy chủ trong DMZ. Tường lửa nội bộ chỉ cho phép lưu lượng truy cập thông qua các cổng cụ thể cần thiết cho hoạt động của mạng nội bộ của bạn.

Trong DMZ, bạn nên định cấu hình máy chủ của mình để chỉ chấp nhận lưu lượng truy cập trên các cổng cụ thể và chỉ chấp nhận các giao thức cụ thể. Ví dụ: bạn sẽ muốn giới hạn lưu lượng trên Cổng 80 đến Giao thức truyền siêu văn bản (HTTP). Bạn cũng sẽ muốn định cấu hình các máy chủ đó để chúng chỉ chạy các dịch vụ cần thiết để chúng hoạt động. Bạn cũng có thể muốn có một hoạt động giám sát hệ thống phát hiện xâm nhập (IDS) trên các máy chủ trong DMZ của bạn để có thể phát hiện và ngăn chặn một cuộc tấn công phần mềm độc hại thông qua tường lửa.

Tường lửa nội bộ phải là tường lửa thế hệ tiếp theo (NGFW) thực hiện kiểm tra lưu lượng truy cập của bạn đi qua các cổng mở trong tường lửa của bạn và cũng tìm kiếm các dấu hiệu xâm nhập hoặc phần mềm độc hại. Đây là tường lửa bảo vệ trang sức vương miện của mạng của bạn để nó không phải là nơi để tiết kiệm. Các nhà sản xuất NGFW bao gồm Barracude, Check Point, Cisco, Fortinet, Juniper và Palo Alto, trong số những người khác.

Cổng Ethernet là Cổng DMZ

Đối với các tổ chức nhỏ hơn, có một cách tiếp cận khác ít tốn kém hơn vẫn sẽ cung cấp DMZ. Nhiều bộ định tuyến gia đình và doanh nghiệp nhỏ bao gồm một chức năng cho phép bạn chỉ định một trong các cổng Ethernet là cổng DMZ. Điều này cho phép bạn đặt một thiết bị như máy chủ web trên cổng đó, nơi nó có thể chia sẻ địa chỉ IP của bạn nhưng cũng có sẵn cho thế giới bên ngoài. Không cần phải nói, máy chủ này nên được khóa càng tốt và chỉ có các dịch vụ hoàn toàn cần thiết đang chạy. Để xác định phân khúc của bạn, bạn có thể đính kèm một công tắc riêng cho cổng đó và có nhiều hơn một thiết bị trong DMZ.

Nhược điểm của việc sử dụng cổng DMZ được chỉ định như vậy là bạn chỉ có một điểm thất bại. Mặc dù hầu hết các bộ định tuyến này cũng bao gồm một tường lửa nhúng, nhưng nhìn chung chúng không bao gồm bộ tính năng đầy đủ của NGFW. Ngoài ra, nếu bộ định tuyến bị vi phạm, thì mạng của bạn cũng vậy.

Mặc dù DMZ dựa trên bộ định tuyến hoạt động, nó có thể không an toàn như bạn muốn. Ít nhất, bạn có thể muốn xem xét thêm một tường lửa thứ hai đằng sau nó. Điều này sẽ tốn thêm một chút nhưng sẽ không tốn nhiều tiền như vi phạm dữ liệu. Hậu quả lớn khác với thiết lập như vậy là việc quản trị phức tạp hơn và, vì các công ty nhỏ hơn có thể sử dụng phương pháp này thường không có nhân viên CNTT, bạn có thể muốn tham gia một nhà tư vấn để thiết lập và sau đó quản lý theo thời gian

Yêu cầu cho DMZ

• Các dịch vụ VPN tốt nhất cho năm 2019 Các dịch vụ VPN tốt nhất cho năm 2019
• Phần mềm bảo mật và bảo vệ điểm cuối được lưu trữ tốt nhất cho năm 2019 Phần mềm bảo mật và bảo vệ điểm cuối được lưu trữ tốt nhất cho năm 2019
• Phần mềm giám sát mạng tốt nhất năm 2019 Phần mềm giám sát mạng tốt nhất năm 2019

Như đã đề cập trước đây, bạn sẽ không tìm thấy quá nhiều DMZ vẫn đang hoạt động. Lý do là DMZ được dự định để lấp đầy một chức năng mà ngày nay đang được xử lý trên đám mây cho phần lớn các chức năng kinh doanh. Mỗi ứng dụng SaaS bạn triển khai và mọi máy chủ bạn lưu trữ đều di chuyển cơ sở hạ tầng ra bên ngoài ra khỏi trung tâm dữ liệu của bạn và vào đám mây, và DMZ đã đồng hành. Điều đó có nghĩa là bạn có thể chọn dịch vụ đám mây, khởi chạy một phiên bản bao gồm máy chủ web và bảo vệ máy chủ đó bằng tường lửa của nhà cung cấp đám mây và bạn đã thiết lập. Không cần thêm một phân đoạn mạng được cấu hình riêng biệt vào mạng nội bộ của bạn vì mọi thứ đang diễn ra ở bất kỳ nơi nào khác. Ngoài ra, các chức năng khác mà bạn có thể sử dụng với DMZ cũng có sẵn trên đám mây và bằng cách đó, bạn sẽ an toàn hơn nữa.

Tuy nhiên, như một chiến thuật bảo mật chung, đó là một biện pháp hoàn toàn khả thi. Tạo một phân đoạn mạng theo kiểu DMZ đằng sau tường lửa của bạn mang lại những lợi ích giống như khi bạn sử dụng để kết nối một mạng giữa mạng LAN và internet: một phân đoạn khác có nghĩa là bảo vệ nhiều hơn bạn có thể buộc kẻ xấu phải xâm nhập trước khi chúng có thể xâm nhập những gì họ thực sự muốn. Và họ càng phải làm việc, bạn hoặc hệ thống phát hiện và ứng phó mối đe dọa của bạn càng phải phát hiện ra và phản ứng.