Когда следует размещать сервер в демилитаризованной зоне, а не открывать порты на брандмауэре и удерживать его в сети? Я имею в виду серверы Active Directory, серверы IIS и в основном все, что связано с настройкой на базе Windows.
Некоторые проблемы, которые я заметил при размещении в DMZ, заключаются в том, что он больше не находится в домене, у него нет доступа сервера имен к нашим внутренним серверам, и еще несколько вещей, с которыми странно работать.
Сервер, размещенный в DMZ, не может открыть соединение с вашей сетью, потому что посередине есть брандмауэр (по самому определению DMZ), поэтому ваша сеть будет защищена от Это, если он когда-либо будет взломан злоумышленником: в этом сценарии скомпрометированный сервер не может использоваться в качестве отправной точки для запуска новых атак против остальной части вашей сети. Наоборот, это не тот случай, если сервер размещен внутри вашей сети, и вы открываете порты брандмауэра, чтобы внешние пользователи могли получить к нему доступ с помощью предоставляемых им услуг. Одна и та же успешная внешняя атака (например, на веб-сайт) приведет к очень разным последствиям, если ваш сервер находится в хорошо охраняемой DMZ или внутри вашей локальной сети.
Тем не менее, размещение сервера в DMZ действительно полезно только в том случае, если вы действительно можете фильтровать трафик между ним и своей внутренней сетью; если для аутентификации требуется доступ к контроллеру домена, доступ к базе данных для внутренних данных и доступ к почте для отправки сообщений (например, Exchange CAS), и вам нужно открыть все эти порты между ним и внутренними серверами, чтобы он действительно делать что-нибудь полезное, тогда нет особого смысла помещать это в DMZ. Рядовые серверы домена являются здесь худшими нарушителями: для доступа к домену требуется очень много открыть порты между компьютером и его контроллерами домена, чтобы его можно было разместить в той же сети, что и они; а скомпрометированный компьютер-член домена является большой проблема безопасности, потому что он может получить доступ ко многим вещам в домене.
Практическое правило для серверов Windows: если он должен быть членом домена, то размещение его в DMZ - это А) проблема, чтобы заставить его работать правильно и Б) почти бесполезно; держите их в своей локальной сети, но убедитесь, что они полностью пропатчены, работают с хорошим антивирусом и защищены хорошо заблокированным внешним брандмауэром. Лучшим подходом здесь является использование обратного прокси, ретранслятора входящей почты или чего-либо еще, что может выступать в качестве шлюза приложений, и избегать прямого доступа к ним через Интернет.
Хорошее практическое правило - учитывать ущерб, который потенциально может быть нанесен, если сервер будет скомпрометирован через службу, которую вы открыли. Вы должны учитывать два фактора для каждого устройства: уровень риска («Насколько велика вероятность взлома?» - этот показатель должен значительно возрасти, как только услуга станет доступной в Интернете) и уровень чувствительности («Как если бы эта система была скомпрометирована, была бы большая потеря? Есть ли важные / конфиденциальные данные? »).
Для систем с высоким риском вы должны стремиться к тому, чтобы их чувствительность была как можно ниже. Это причина того, что вы строите DMZ.
Идея DMZ состоит в том, чтобы изолировать системы с высоким уровнем риска, так что злоумышленнику необходимо проникнуть через дополнительный уровень безопасности (другой брандмауэр) для доступа к вашим высокочувствительным системам. Скорее всего, вам понадобятся некоторые соединения между DMZ и внутренней сетью, но попробуйте протолкнуть данные наружу в DMZ вместо того, чтобы разрешать соединения, входящие во внутреннюю сеть.
Если сервер будет скомпрометирован, когда вы откроете порты для внутренней сети, потенциально у злоумышленника будет доступ или гораздо более простой способ выполнить атаки на внутренние системы. В современном мире большую часть системы, которую вы планируете развернуть в демилитаризованной зоне, можно настроить и настроить для выполнения различий между внутренними сетями и сетями DMZ. Фактически, единственный способ прохождения трафика - это из вашей ВНУТРЕННЕЙ сети в DMZ, по сути, внутренние серверы открывают соединения с серверами в DMZ.