Usi comuni della DMZ
Una DMZ è una sezione della rete aziendale separata dal resto dei sistemi dell'organizzazione. Viene utilizzato per ospitare server che interagiscono con utenti esterni (inclusi quelli provenienti da Internet pubblico e organizzazioni di terze parti non attendibili) e potrebbero essere potenzialmente sfruttati da un utente malintenzionato.
Alcuni server che probabilmente risiedono nella rete perimetrale includono:
- Server web
- Server di posta elettronica
- Server DNS
- Server FTP
- Server proxy
Questi server forniscono servizi a utenti esterni e corrono il rischio di essere sfruttati da un utente malintenzionato. La separazione tra il resto della rete aziendale rende più difficile per un utente malintenzionato passare da un server pubblico ad altre risorse aziendali più preziose.
Approcci all'implementazione della DMZ
Le DMZ ospitano server che potrebbero rappresentare una minaccia per il resto della rete privata a causa del loro maggiore potenziale di sfruttamento da parte di un utente malintenzionato. Un'organizzazione deve identificare i server che forniscono servizi pubblici e inserirli all'interno della DMZ.
La DMZ è separata dal resto della rete esterna da un firewall. Ciò potrebbe essere implementato in uno dei due modi seguenti:
- Firewall singolo: Per creare una DMZ è possibile utilizzare un singolo firewall con almeno tre interfacce di rete. Un'interfaccia si connette alla rete pubblica, la seconda alla rete perimetrale e la terza alla rete aziendale interna. La separazione della DMZ in un'interfaccia separata aiuta a isolarla e consente all'azienda di limitare i contatti con la rete interna in base alle regole del firewall e ai controlli di accesso.
- Doppio firewalls: Una DMZ può anche essere costruita utilizzando due firewall distinti. Il primo firewall separa la DMZ dalla rete Internet pubblica, mentre il secondo divide la DMZ dalla rete interna. Questa progettazione è più sicura poiché implementa la difesa in profondità, costringendo l'utente malintenzionato a bypassare due firewall per raggiungere la rete aziendale interna.
Importanza della DMZ
La DMZ è un componente importante di una rete aziendale perché separa i sistemi ad alto rischio da quelli ad alto valore. Un server web è un sistema ad alto rischio per l'organizzazione perché le applicazioni web contengono comunemente vulnerabilità sfruttabili che potrebbero consentire all'utente malintenzionato di accedere al server che le ospita.
Isolare questi sistemi dal resto della rete aziendale ha senso per proteggere altri sistemi aziendali da questi intrusi.
Man mano che le organizzazioni implementano l'accesso alla rete zero trust (ZTNA), le DMZ possono diventare meno vitali poiché ogni applicazione e sistema è isolato da ogni altro da firewall e controlli di accesso. Un'architettura zero trust posiziona in modo efficace ogni parte della rete aziendale nella propria DMZ, migliorando il livello di sicurezza della rete nel suo complesso.
Best practice per la rete perimetrale
Per garantire che la rete perimetrale funzioni correttamente e protegga l'organizzazione da potenziali minacce, implementare le seguenti best practice:
- Protezione a doppio firewall: Le DMZ possono essere progettate con un singolo firewall o un doppio firewall. L'utilizzo di due firewall riduce i rischi costringendo l'utente malintenzionato a sconfiggere più firewall per ottenere l'accesso a sistemi di alto valore all'interno della LAN aziendale.
- Implementa granulare Controlli di accesso: Le organizzazioni devono implementare controlli di accesso per il traffico esterno in entrata e in uscita dalla rete aziendale e che scorre tra essa e la LAN aziendale interna. Idealmente, si tratterà di controlli di accesso con privilegi minimi implementati come parte di una strategia di sicurezza Zero Trust.
- Applicare gli aggiornamenti tempestivamente: i firewall DMZ sono essenziali per proteggere la rete aziendale interna da potenziali intrusioni provenienti dalla DMZ. Le organizzazioni dovrebbero controllare e applicare regolarmente firewall aggiornamenti per garantire che qualsiasi lacuna di sicurezza venga colmata prima che possa essere sfruttata da un utente malintenzionato.
- Eseguire regolarmente Valutazioni delle vulnerabilità: Oltre alla gestione delle patch, i team di sicurezza dovrebbero anche eseguire scansioni e valutazioni regolari delle vulnerabilità per identificare eventuali problemi di sicurezza con la loro DMZ. Oltre ai sistemi privi di patch, questi potrebbero includere errori di configurazione, intrusioni trascurate e qualsiasi altra cosa che possa mettere a rischio l'organizzazione.
Aumenta la sicurezza con il firewall basato su IA di Check Point
Una rete perimetrale è una parte importante dell'architettura di sicurezza di un'organizzazione che protegge il resto della rete aziendale da potenziali compromissioni dei server Web e di altri servizi pubblici. Tuttavia, la DMZ è efficace solo se è protetta da un firewall in grado di impedire agli aggressori di passare alla rete interna.
Ciò richiede un firewall di nuova generazione (NGFW), idealmente versioni che sfruttano la potenza dei motori IA/ML per bloccare le minacce zero-day. Scopri di più su cosa cercare in un firewall aziendale moderno con questa guida all'acquisto.
Gli NGFW Check Point sono disponibili come soluzioni standalone o come parte di Harmony SASE. Per saperne di più, non esitare a registrarti per una demo gratuita di Check Point Quantum Force NGFW.
Feedback