Lo scopo di una DMZ
Una DMZ è progettata per fornire una posizione ai servizi che appartengono a un'organizzazione, ma che sono meno affidabili o più esposti a compromessi. Esempi di sistemi che vengono comunemente implementati in una DMZ sono:
- Server web
- Server DNS
- Server di posta
- Server FTP
Tutti questi sistemi devono essere accessibili al pubblico. Tuttavia, tutti sono anche potenzialmente vulnerabili alla compromissione (come lo sfruttamento delle vulnerabilità web delle applicazioni) o potrebbero essere utilizzati in un attacco, come l'uso del DNS per l'amplificazione degli attacchi DDoS (Distributed Denial of Service).
Una DMZ consente all'organizzazione di esporre le funzionalità rivolte a Internet senza mettere a rischio il resto dei sistemi interni. Mentre i sistemi situati sulla DMZ possono avere accesso ai sistemi interni e ai dati sensibili - come i dati dei clienti archiviati nei database e utilizzati dall'applicazione web - le connessioni tra questi sistemi basati sulla DMZ e i sistemi interni sono sottoposte a un'ispezione supplementare per verificare la presenza di contenuti dannosi.
Architettura di rete DMZ
Una DMZ è una sottorete isolata all'interno della rete di un'organizzazione. La DMZ è definita da due rigidi confini segmentati: uno tra la DMZ e la rete esterna non attendibile (cioè Internet) e uno tra la DMZ e la rete interna attendibile.
Questi confini tra la DMZ e le altre reti sono rigorosamente applicati e protetti. Un'organizzazione distribuirà dei firewall su entrambi i confini della DMZ. Questi Next Generation Firewall (NGFW) ispezionano tutto il traffico che attraversa il confine della rete e hanno la capacità di rilevare e bloccare i contenuti dannosi prima che attraversino il confine da Internet alla DMZ o dalla DMZ alla rete interna protetta.
Questi firewall di rete sono essenziali per la sicurezza della DMZ, perché hanno la capacità di applicare i controlli di accesso tra la DMZ e i sistemi interni. Questi controlli di accesso sono essenziali per ridurre al minimo la possibilità che un sistema compromesso metta a rischio i sistemi interni e che un aggressore possa muoversi lateralmente da un sistema compromesso sulla DMZ in tutta la rete.
Mentre un firewall è tutto ciò che è necessario per definire i confini di una DMZ, un'organizzazione può implementare anche difese aggiuntive su questi confini. A seconda dei servizi implementati all'interno della DMZ, un'organizzazione potrebbe voler implementare un Web Application Firewall (WAF), una soluzione di scansione e-mail o altri controlli di sicurezza per fornire una protezione mirata ai servizi implementati.
Vantaggi della rete DMZ
L'implementazione di una DMZ consente a un'organizzazione di definire diversi livelli e zone di fiducia all'interno della sua rete. Questo offre una serie di vantaggi all'organizzazione, tra cui:
- Protezione dei sistemi rivolti a Internet: I server e-mail, le applicazioni web e altri sistemi rivolti a Internet devono accedere a dati sensibili, il che significa che devono essere protetti dagli attacchi. La collocazione di questi sistemi nella DMZ consente loro di essere accessibili all'Internet pubblico, pur essendo protetti dal firewall esterno.
- Protezione dei sistemi interni: Alcuni sistemi sulla DMZ (come i server FTP) rappresentano una minaccia per i sistemi all'interno della rete dell'organizzazione. La collocazione di questi sistemi in una DMZ garantisce l'esistenza di un altro livello di ispezione di sicurezza tra questi sistemi e la rete interna dell'organizzazione.
- Movimento laterale limitato: I cyberattaccanti di solito sfruttano un sistema per ottenere un punto d'appoggio su una rete, per poi espandere il loro accesso da quel punto d'appoggio. Poiché i sistemi più vulnerabili e sfruttabili si trovano nella DMZ, è più difficile utilizzarli come punto di appoggio per accedere e sfruttare la rete interna protetta.
- Impedire la scansione della rete: Gli aggressori comunemente scansionano le reti delle organizzazioni per identificare i computer e i software che possono essere vulnerabili allo sfruttamento. L'implementazione di una DMZ struttura la rete in modo che solo i sistemi destinati a essere rivolti a Internet siano effettivamente visibili e scansionabili dall'Internet pubblico.
- Miglioramento del controllo degli accessi: La collocazione di un firewall tra la rete interna e i sistemi rivolti a Internet consente di ispezionare tutte le connessioni tra questi sistemi. Ciò consente all'organizzazione di definire e applicare rigorosamente i controlli di accesso per fornire protezione ai sistemi interni.
- Migliori prestazioni di rete: I sistemi rivolti a Internet sono progettati per essere consultati frequentemente da utenti esterni. La collocazione di questi sistemi in una DMZ riduce il carico sull'infrastruttura di rete interna e sui firewall, migliorandone le prestazioni.
Implementare una DMZ sicura
Una DMZ offre all'organizzazione un ulteriore livello di protezione tra la rete interna dell'organizzazione e l'Internet pubblico. Isolando i sistemi potenzialmente vulnerabili in una DMZ, un'organizzazione riduce il rischio per i suoi sistemi interni.
Tuttavia, una DMZ è utile solo se i firewall che ne difendono i confini sono in grado di rilevare le minacce potenziali e di implementare forti controlli di accesso. Per sapere cosa cercare in un NGFW, consulti questa guida all'acquisto. Può anche dare un'occhiata a questa demo per vedere come gli NGFW di Check Point possono migliorare la sicurezza della sua rete.
Feedback