V oblasti počítačového zabezpečení je DMZ (někdy označovaná jako obvodová síť) fyzická nebo logická podsíť, která obsahuje a vystavuje externí služby organizace na větší nedůvěryhodnou síť, obvykle na internet. Účelem DMZ je přidat další vrstvu zabezpečení do místní počítačové sítě (LAN) organizace; externí útočník má přístup pouze k zařízení v DMZ, nikoli k jakékoli jiné části sítě. Název je odvozen od výrazu „demilitarizovaná zóna“, což je oblast mezi národními státy, ve které není povolena vojenská akce.
Je běžnou praxí mít ve vaší síti bránu firewall a demilitarizovanou zónu (DMZ), ale mnoho lidí, dokonce i IT profesionálů, nerozumí proč, až na nějakou nejasnou představu o semi-bezpečnosti.
Většina podniků, které hostují své vlastní servery, provozuje své sítě s DMZ umístěným na okraji jejich sítě, obvykle fungujícím na samostatném firewallu jako polodůvěryhodná oblast pro systémy propojené s vnějším světem.
Proč takové zóny existují a jaké druhy systémů nebo dat by v nich měly být?
Pro zachování skutečné bezpečnosti je důležité jasně pochopit účel DMZ.
Většina bran firewall jsou zabezpečovací zařízení na úrovni sítě, obvykle zařízení nebo zařízení v kombinaci se síťovým zařízením. Jejich účelem je poskytnout granulární prostředky řízení přístupu v klíčovém bodě obchodní sítě. DMZ je oblast vaší sítě, která je oddělena od interní sítě a internetu, ale je připojena k oběma.
DMZ je určen k hostování systémů, které musí být přístupné na internetu, ale jiným způsobem než ve vaší interní síti. Stupeň dostupnosti pro internet na úrovni sítě je řízen firewallem. Stupeň dostupnosti do Internetu na úrovni aplikace je řízen softwarem, který je skutečně kombinací webového serveru, operačního systému, vlastní aplikace a často i databázového softwaru.
DMZ obvykle umožňuje omezený přístup z Internetu a z interní sítě. Interní uživatelé musí obvykle přistupovat k systémům v rámci DMZ, aby mohli aktualizovat informace nebo používat data zde shromážděná nebo zpracovaná. Účelem DMZ je umožnit veřejnosti přístup k informacím prostřednictvím internetu, ale omezeným způsobem. Jelikož však existuje expozice na internetu a ve světě důmyslných lidí, stále existuje riziko, že tyto systémy mohou být ohroženy.
Dopad kompromisu je dvojí: zaprvé může dojít ke ztrátě informací o vystavených systémech (tj. Zkopírování, zničení nebo poškození) a zadruhé může být samotný systém použit jako platforma pro další útoky na citlivé interní systémy.
Aby se zmírnilo první riziko, DMZ by měl umožnit přístup pouze prostřednictvím omezených protokolů (např. HTTP pro normální přístup na web a HTTPS pro šifrovaný přístup na web). Samotné systémy pak musí být nakonfigurovány opatrně, aby poskytovaly ochranu prostřednictvím oprávnění, mechanismů ověřování, pečlivého programování a někdy šifrování.
Zamyslete se nad tím, jaké informace bude váš web nebo aplikace shromažďovat a ukládat. To je to, co může být ztraceno, pokud jsou systémy ohroženy běžnými webovými útoky, jako je vložení SQL, přetečení vyrovnávací paměti nebo nesprávná oprávnění.
Aby se zmírnilo druhé riziko, systémům DMZ by neměly důvěřovat systémy hlouběji v interní síti. Jinými slovy, systémy DMZ by neměly vědět nic o interních systémech, ačkoli některé interní systémy o systémech DMZ mohou vědět. Kromě toho by řízení přístupu DMZ nemělo umožnit systémům DMZ zahájit jakékoli připojení dále do sítě. Místo toho by jakýkoli kontakt se systémy DMZ měl být iniciován interními systémy. Pokud je systém DMZ napaden jako útočná platforma, měl by být viditelný pouze pro ostatní systémy DMZ.
Je velmi důležité, aby IT manažeři a vlastníci firem porozuměli možným škodám na systémech vystavených na internetu a také mechanismům a metodám ochrany, jako jsou DMZ. Vlastníci a manažeři mohou činit informovaná rozhodnutí o tom, jaká rizika jsou ochotni přijmout, až budou mít pevné pochopení toho, jak efektivně jejich nástroje a procesy tato rizika snižují.
3 minuty čtení
![[Oprava] VirtualBox Instalace se nezdařila na Macu](https://jf-balio.pt/img/how-tos/71/virtualbox-installation-failed-mac.jpg)
![[Oprava] Tiskárna udržuje tisk dokumentů v obráceném barevném schématu](https://jf-balio.pt/img/how-tos/61/printer-keeps-printing-documents-an-inverted-color-scheme.png)
