DMZネットワークは、敵対する勢力や国家が支配する2つの地域の間に位置する非武装地帯にちなんで名付けられ、保護された内部ネットワークと信頼できないネットワーク(多くの場合、インターネット)の間に位置する組織のネットワークインフラストラクチャ上のサブネットワークです。 組織の DMZ ネットワークには、一般向けのサービスが含まれており、内部ネットワークの保護に役立つように設計されています。
DMZ は、組織に属しているが、信頼性が低い、または侵害にさらされやすいサービスの場所を提供するように設計されています。 DMZ に一般的に展開されるシステムの例としては、次のようなものがあります。
これらのシステムはすべて、パブリックにアクセスできる必要があります。 ただし、これらはすべて、侵害(Webアプリケーションの脆弱性の悪用など)に対して脆弱であったり、分散型サービス妨害攻撃(DDoS)攻撃の増幅に DNS を使用するなどの攻撃に使用される可能性もあります。
DMZ を使用すると、組織は、内部システムの他の部分を危険にさらすことなく、インターネットに接続する機能を公開できます。 DMZにあるシステムは、内部システムや機密データ(データベースに保存され、Webアプリケーションで使用される顧客データなど)にアクセスできる可能性がありますが、これらのDMZベースのシステムと内部システム間の接続は、悪意のあるコンテンツについて追加の検査を受けます。
DMZ は、組織のネットワーク内の分離されたサブネットワークです。 DMZ は、DMZ と信頼できない外部ネットワーク(インターネットなど)と DMZ と信頼できる内部ネットワークの間の 2 つの厳密なセグメント境界によって定義されます。
DMZと他のネットワーク間のこれらの境界は、厳格に適用され、保護されています。 組織は、DMZ の両方の境界に ファイアウォール を展開します。 これらの 次世代ファイアウォール (NGFW)は、ネットワーク境界を越えるすべてのトラフィックを検査し、インターネットからDMZ、またはDMZから保護された内部ネットワークへの境界を越える前に、悪意のあるコンテンツを検出してブロックする機能を備えています。
これらの ネットワーク ファイアウォール は、DMZ と内部システム間のアクセス制御を実施する機能を備えているため、DMZ のセキュリティに不可欠です。 これらのアクセス制御は、侵害されたシステムが内部システムを危険にさらす可能性や、攻撃者がDMZ上の侵害されたシステムからネットワーク全体に水平移動できる可能性を最小限に抑えるために不可欠です。
DMZの境界を定義するために必要なのはファイアウォールだけですが、組織はこれらの境界に追加の防御を展開することもできます。 DMZ内に実装されているサービスに応じて、組織はWebアプリケーションファイアウォール(WAF)、電子メールスキャンソリューション、またはその他のセキュリティ制御を導入して、展開されたサービスにターゲットを絞った保護を提供することができます。
DMZ を実装すると、組織はネットワーク内に複数の異なるレベルと信頼ゾーンを定義できます。 これにより、組織には次のような多くのメリットがあります。
DMZ は、組織の内部ネットワークとパブリック インターネットの間に追加のレベルの保護を提供します。 潜在的に脆弱なシステムをDMZで隔離することで、組織は内部システムに対するリスクを軽減します。
ただし、DMZは、その境界を防御するファイアウォールが潜在的な脅威を検出し、強力なアクセス制御を実装できる場合にのみ役立ちます。 NGFWで何を探すべきかについては、こちらのバイヤーズガイドをご覧ください。また、 このデモでは 、チェック・ポイントのNGFWがネットワーク・セキュリティをどのように向上させるかをご覧ください。