Una red DMZ, que lleva el nombre del área desmilitarizada que se encuentra entre dos áreas controladas por fuerzas o naciones opuestas, es una subred en la infraestructura de red de una organización que se encuentra entre la red interna protegida y una red que no es de confianza (a menudo Internet). La red DMZ de una organización contiene servicios públicos y está diseñada para ayudar a proteger las redes internas.
Una DMZ está diseñada para proporcionar una ubicación para servicios que pertenecen a una organización pero que son menos confiables o están más expuestos a compromisos. Los ejemplos de sistemas que se implementan comúnmente en una DMZ incluyen:
Todos estos sistemas deben ser de acceso público. Sin embargo, todos ellos también son potencialmente vulnerables a verse comprometidos (como la explotación de la vulnerabilidad de la aplicación web) o podrían usarse en un ataque, como el uso de DNS para la amplificación de ataques de denegación de servicio distribuido (DDoS).
Una DMZ permite a una organización exponer la funcionalidad frente a Internet sin poner en riesgo el resto de sus sistemas internos. Si bien los sistemas ubicados en la DMZ pueden tener acceso a sistemas internos y datos confidenciales, como los datos de los clientes almacenados en bases de datos y utilizados por la aplicación web, las conexiones entre estos sistemas basados en la DMZ y los sistemas internos se someten a una inspección adicional para detectar contenido malicioso.
Una DMZ es una subred aislada dentro de la red de una organización. La DMZ está definida por dos límites segmentados estrictos: uno entre la DMZ y la red exterior no confiable (es decir, Internet) y otro entre la DMZ y la red interna confiable.
Estos límites entre la DMZ y otras zonas rojas se aplican y protegen estrictamente. Una organización desplegará firewall en ambos límites de la DMZ. Estos Firewall de última generación (NGFW) inspeccionan todo el tráfico que cruza el límite de la red y tienen la capacidad de detectar y bloquear contenido malicioso antes de que cruce el límite de Internet a la DMZ o de la DMZ a la red interna protegida.
Estos firewallde red son esenciales para la seguridad de la DMZ porque tienen la capacidad de hacer cumplir controles de acceso entre la DMZ y los sistemas internos. Estos controles de acceso son esenciales para minimizar la posibilidad de que un sistema comprometido ponga en riesgo los sistemas internos y que un atacante pueda moverse lateralmente desde un sistema comprometido en la DMZ a través de la red.
Si bien todo lo que se necesita para definir los límites de una DMZ es un firewall, una organización también puede implementar defensas adicionales en estos límites. Dependiendo de los servicios implementados dentro de la DMZ, es posible que una organización desee implementar un firewall de aplicaciones web (WAF), una solución de escaneo de correo electrónico u otros controles de seguridad para brindar protección específica a los servicios implementados.
La implementación de una DMZ permite a una organización definir múltiples niveles y zonas de confianza diferentes dentro de su red. Esto proporciona una serie de beneficios a una organización, incluyendo:
Una DMZ proporciona a una organización un nivel adicional de protección entre la red interna de una organización y la Internet pública. Al aislar sistemas potencialmente vulnerables en una DMZ, una organización disminuye el riesgo para sus sistemas internos.
Sin embargo, una DMZ sólo es útil si el firewall que defiende sus límites es capaz de detectar amenazas potenciales e implementar fuertes controles de acceso. Para saber qué buscar en un NGFW, consulte esta guía del comprador. También puede consultar esta demostración para ver cómo los NGFW de Check Point pueden mejorar la seguridad de su red.