جدول المحتويات:
فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (سبتمبر 2024)
أفضل مثال للمنطقة المنزوعة السلاح (DMZ) اليوم هو قطاع من الأراضي يخضع لحراسة مشددة في كوريا. إنها المنطقة الواقعة على جانبي الحدود بين كوريا الشمالية وكوريا الجنوبية والمقصود منها منع كل دولة من بدء الحرب عن طريق الخطأ. في مجال الحوسبة ، تشبه المنطقة المجردة من السلاح (DMZ) من حيث المفهوم لأنها توفر مكانًا يبقي العالم غير الموثوق به للإنترنت خارج الشبكة الداخلية لمؤسستك ، مع الاستمرار في تقديم الخدمات إلى العالم الخارجي. لفترة طويلة ، قام أي مبنى متخصص في تكنولوجيا المعلومات تقريبًا بأي نوع من الشبكات المتصلة بالإنترنت بتجميع DMZ كمسألة طبيعية. لكن السحابة غيرت كل ذلك.
تدابير أمنية إضافية للمؤسسة اتخذت عام 2017
إذا كان لا يزال لديك DMZ قيد التشغيل ، فسوف تجد أنه مثال نموذجي لتجزئة الشبكة. ابحث عن كثب وستجد عمومًا بعضًا من جدران الحماية وأجهزة التوجيه. في معظم الحالات ، سيتم إنشاء DMZ بواسطة جهاز أمان متطور (عادة ما يكون جدار حماية) يتم نسخه احتياطيًا بواسطة جهاز توجيه أو جدار حماية آخر يحرس البوابات إلى الشبكة الداخلية.
في حين أن معظم المؤسسات لم تعد بحاجة إلى منطقة DMZ لحماية نفسها من العالم الخارجي ، فإن مفهوم فصل الأشياء الجيدة الرقمية عن بقية شبكتك لا يزال يمثل استراتيجية أمنية فعالة. إذا طبقت آلية المنطقة المجردة من السلاح على أساس داخلي بالكامل ، فلا يزال هناك حالات استخدام منطقية. أحد الأمثلة على ذلك هو حماية الوصول إلى مخازن البيانات القيمة أو قوائم التحكم في الوصول أو الكنوز المماثلة. ستحتاج إلى أي مستخدمين محتملين غير مصرح لهم بالانتقال إلى أكبر عدد ممكن من الأطواق الإضافية قبل الوصول.
كيف يعمل DMZ
تعمل DMZ مثل هذا: سيكون هناك جدار حماية حافة يواجه أهوال الإنترنت المفتوح. بعد ذلك ، سيكون DMZ وجدار حماية آخر يحمي شبكة المنطقة المحلية لشركتك (LAN). وراء ذلك جدار الحماية ستكون الشبكة الداخلية الخاصة بك. بإضافة هذه الشبكة البينية الإضافية ، يمكنك تنفيذ طبقات أمان إضافية سيحتاج المحتالون إلى إلحاق الهزيمة بها قبل أن يتمكنوا من الوصول إلى شبكتك الداخلية الفعلية - حيث يُفترض أن كل شيء يتم تغطيته أيضًا ليس فقط من خلال عناصر التحكم في الوصول إلى الشبكة بل مجموعات حماية نقطة النهاية أيضًا.
بين جدار الحماية الأول والثاني ، ستجد عادةً مفتاحًا يوفر اتصال شبكة للخوادم والأجهزة التي يجب أن تكون متاحة للإنترنت. يوفر المفتاح أيضًا اتصالًا بجدار الحماية الثاني.
يجب تكوين جدار الحماية الأول للسماح فقط لحركة المرور التي تحتاج إلى الوصول إلى شبكة LAN الداخلية والخوادم في منطقة DMZ. يجب أن يسمح جدار الحماية الداخلي بحركة المرور فقط من خلال منافذ محددة ضرورية لتشغيل الشبكة الداخلية.
في DMZ ، يجب عليك تهيئة الخوادم الخاصة بك لقبول حركة المرور على منافذ معينة فقط وقبول بروتوكولات محددة فقط. على سبيل المثال ، ستحتاج إلى تقييد حركة المرور على المنفذ 80 إلى بروتوكول نقل النص التشعبي (HTTP) فقط. ستحتاج أيضًا إلى تكوين هذه الخوادم بحيث تعمل فقط على الخدمات اللازمة لكي تعمل. قد ترغب أيضًا في امتلاك نشاط مراقبة لنظام الكشف عن التسلل (IDS) على الخوادم الموجودة في المنطقة المجردة من السلاح (DMZ) الخاصة بك حتى يمكن اكتشاف هجوم البرامج الضارة الذي يجعله عبر جدار الحماية.
يجب أن يكون جدار الحماية الداخلي عبارة عن جدار حماية من الجيل التالي (NGFW) يقوم بإجراء عمليات تفتيش لحركة المرور الخاصة بك والتي تمر عبر المنافذ المفتوحة في جدار الحماية الخاص بك وكذلك يبحث عن مؤشرات على عمليات الاقتحام أو البرامج الضارة. هذا هو جدار الحماية الذي يحمي جواهر التاج الخاصة بشبكتك بحيث لا يكون المكان المناسب لبثها. من بين صناع NGFWs Barracude و Check Point و Cisco و Fortinet و Juniper و Palo Alto وغيرها.
منافذ إيثرنت كموانئ DMZ
بالنسبة للمؤسسات الأصغر ، هناك طريقة أخرى أقل تكلفة والتي ستظل توفر منطقة منزوعة السلاح. تتضمن العديد من أجهزة التوجيه المنزلية والشركات الصغيرة وظيفة تتيح لك تعيين أحد منافذ Ethernet كمنفذ DMZ. يتيح لك ذلك وضع جهاز مثل خادم الويب على هذا المنفذ حيث يمكنه مشاركة عنوان IP الخاص بك ولكن أيضًا متاح للعالم الخارجي. وغني عن القول ، يجب أن يكون هذا الخادم مغلقًا قدر الإمكان وأن يكون لديه خدمات ضرورية للغاية فقط. لتوضيح الجزء الخاص بك ، يمكنك إرفاق مفتاح منفصل لهذا المنفذ والحصول على أكثر من جهاز في المنطقة المجردة من السلاح.
الجانب السلبي لاستخدام مثل هذا المنفذ DMZ المعين هو أن لديك نقطة واحدة فقط من الفشل. على الرغم من أن معظم أجهزة التوجيه هذه تشتمل أيضًا على جدار حماية مضمن ، إلا أنها لا تتضمن عمومًا مجموعة الميزات الكاملة لـ NGFW. بالإضافة إلى ذلك ، إذا تم اختراق جهاز التوجيه ، فستكون شبكتك كذلك.
على الرغم من أن جهاز DMZ المستند إلى جهاز التوجيه يعمل ، فمن المحتمل أنه ليس آمنًا كما تريد. على الأقل ، قد ترغب في إضافة جدار حماية ثانٍ خلفه. سيتكلف هذا تكلفة إضافية قليلاً ولكنه لن يكلف ما يقرب من تكلفة اختراق البيانات. والنتيجة الرئيسية الأخرى لمثل هذا الإعداد هي أنه من الأكثر تعقيدًا إدارتها ، وبالنظر إلى أن الشركات الأصغر التي قد تستخدم هذا النهج عادةً ما لا يوجد لديها فريق لتكنولوجيا المعلومات ، فقد ترغب في التعاقد مع مستشار لإعداد هذا الأمر ثم إدارته من وقت لآخر.
قداس لل DMZ
- أفضل خدمات VPN لعام 2019 أفضل خدمات VPN لعام 2019
- أفضل برامج حماية وأمان نقطة النهاية المستضافة لعام 2019 أفضل برامج حماية وأمان نقطة النهاية المستضافة لعام 2019
- أفضل برنامج مراقبة الشبكة لعام 2019 أفضل برنامج مراقبة الشبكة لعام 2019
كما ذكرنا سابقًا ، لن تجد الكثير من DMZ لا تزال تعمل في البرية. السبب هو أن المنطقة المجردة من السلاح كانت تهدف إلى ملء وظيفة يتم التعامل معها اليوم في السحابة بالنسبة للغالبية العظمى من وظائف الأعمال. ينتقل كل تطبيق SaaS تقوم بنشره وكل خادم تستضيفه جميعه بالبنية التحتية التي تواجه الخارج من مركز البيانات الخاص بك إلى الشبكة السحابية ، وقد ذهبت DMZs في هذه الرحلة. يعني ذلك أنه يمكنك اختيار خدمة سحابية ، وإطلاق مثيل يتضمن خادم ويب ، وحماية ذلك الخادم من خلال جدار الحماية الخاص بمزود الخدمة السحابية وتعيينك. لا حاجة لإضافة قطعة شبكة مكونة بشكل منفصل إلى شبكتك الداخلية لأن كل شيء يحدث في أي مكان آخر. بالإضافة إلى ذلك ، فإن الوظائف الأخرى التي قد تستخدمها مع DMZ متوفرة أيضًا في السحابة ، وبهذه الطريقة ، ستكون أكثر أمانًا.
لا يزال ، كتكتيك أمني عام ، هو إجراء قابل للتطبيق تمامًا. إن إنشاء شريحة شبكة على نمط DMZ خلف جدار الحماية الخاص بك يجلب نفس الفوائد كما كان الحال عندما اعتدت على سحق واحدة بين شبكة LAN الخاصة بك والإنترنت: تعني شريحة أخرى مزيدًا من الحماية يمكنك إجبار الأشرار على اختراقها قبل أن يتمكنوا من الوصول إلى ماذا يريدون حقا. وكلما زاد عملهم ، كلما اضطرت أنت أو نظام الكشف عن التهديد والاستجابة له إلى اكتشافها والرد عليها.
