У меня два Linux сервера:
Кто-то сказал мне, что я должен подумать о DMZ. Цель - защитить базу данных от внешних пользователей. Однако мы можем доверять внутренним пользователям. Внутренним пользователям по-прежнему потребуется доступ ко всем аспектам сервера базы данных.
Может ли кто-нибудь помочь мне понять, как будет выглядеть простая DMZ (для малого бизнеса) в этой ситуации? Это реализовано аппаратно или программно или и то, и другое?
Ничего не зная о DMZ, я пытаюсь понять, что мне нужно было бы проинструктировать моего хостинг-провайдера для внедрения DMZ (при условии, что нужно решить много информации, а не просто сказать им: «дайте мне DMZ "). Что мне нужно им сказать или какие решения мне нужно принять, прежде чем обращаться к ним?
Есть ли причина, по которой кто-то может не захотеть или не будет нуждаться во внедрении DMZ в сценарии выше? Или принято считать, что всегда быть хорошей идеей?
Задача DMZ - установить периметр безопасности, через который разрешается проходить только известному желаемому трафику. Это можно сделать с помощью аппаратного межсетевого экрана (Cisco ASA и т. Д.) Или программного брандмауэра (Linux iptables, OpenBSD pfsense и т. Д.). Дело в том, чтобы иметь механизм для арбитража трафика и принятия решений о том, какие потоки подходят.
Физически подключение DMZ к вашему Интернет-соединению может выглядеть примерно так:
{ the internet }----[ Firewall Device ]-----{ LAN }
|
|
{ DMZ }
Обычно одна физическая сетевая карта на устройстве межсетевого экрана предназначена для подключения к каждому из этих сегментов (Интернет, DMZ и LAN). Это можно сделать с помощью VLAN, чтобы использовать меньше физических сетевых адаптеров, но тогда вы начинаете смешивать различные проблемы безопасности в одном и том же физическом носителе (и этого обычно следует избегать, если вы не получаете какое-то конкретное преимущество, делая это).
Предполагая, что пользователи приложения будут получать доступ к веб-серверу Apache через TCP-порт 80 «второго сервера» (который я буду называть «веб-сервером»), чтобы использовать приложение, я бы увидел, что компьютер веб-сервера сидит в Сегмент DMZ с доступом, контролируемым устройством межсетевого экрана, создающим DMZ, чтобы:
(Предполагая, что вы используете брандмауэр с отслеживанием состояния для арбитража доступа к DMZ, вам не нужно специально создавать правила для ответов на запросы выше.)
Это очень упрощенный взгляд, но он передает идею. Вы, вероятно, захотите, чтобы веб-сервер делал DNS-запросы, и вы можете разрешить ему доступ к серверу HTTP или HTTPS, с которого можно загружать обновления ОС. Я настоятельно рекомендую против разрешая веб-серверу произвольный исходящий доступ к Интернету (поскольку многие эксплойты полагаются на то, что используемый компьютер может загрузить полезную нагрузку "второго этапа"). Если вам не нужен кто-либо в Интернете для администрирования веб-сервера, не разрешайте входящий SSH из Интернета. (Если вам все же нужно администрировать его извне, лучше подключиться к VPN в сегменте локальной сети и получить доступ к веб-серверу из локальной сети.)
Демилитаризованная зона или DMZ - это сегмент сети, отделенный от других сетей. Многие организации используют DMZ для отделения своих локальных сетей (LAN) от Интернета. Это обеспечивает дополнительную безопасность между их корпоративной сетью и общедоступным Интернетом.
Обычно элементы, помещаемые в демилитаризованную зону, являются общедоступными серверами. Например, если организация поддерживает свой веб-сайт на сервере, этот веб-сервер может быть размещен в DMZ. Таким образом, если машина когда-либо будет взломана, остальная часть сети компании не окажется в опасности.
При подключении локальной сети к Интернету маршрутизатор обеспечивает физическое подключение к общедоступному Интернету, а брандмауэр обеспечивает шлюз для предотвращения проникновения вредоносных данных в сеть. Один порт на брандмауэре часто подключается к корпоративной сети, используя внутренний адрес в этой сети, что позволяет трафику, отправляемому отдельными лицами внутри компании, достигать Интернета. Другой порт обычно настраивается с публичным адресом, который позволит интернет-трафику достигать организации. Эти два порта позволяют входящим и исходящим данным достигать организации в Интернете.