적대 세력이나 국가가 통제하는 두 영역 사이에 있는 비무장 지대의 이름을 딴 DMZ 네트워크는 보호된 내부 네트워크와 신뢰할 수 없는 네트워크(종종 인터넷) 사이에 있는 조직 네트워크 인프라의 하위 네트워크입니다. 조직의 DMZ 네트워크에는 공용 서비스가 포함되어 있으며 내부 네트워크를 보호하도록 설계되었습니다.
DMZ는 조직에 속해 있지만 신뢰도가 낮거나 손상에 더 많이 노출된 서비스의 위치를 제공하도록 설계되었습니다. DMZ에 일반적으로 배포되는 시스템의 예는 다음과 같습니다.
이러한 모든 시스템은 공개적으로 액세스할 수 있어야 합니다. 그러나 이들 모두는 잠재적으로 손상(예: 웹 애플리케이션 취약성 악용)에 취약하거나 분산 서비스 거부(DDoS) 공격(DDoS) 공격 증폭을 위한 DNS 사용과 같은 공격에 사용될 수 있습니다.
DMZ를 통해 조직은 나머지 내부 시스템을 위험에 빠뜨리지 않고 인터넷 연결 기능을 노출할 수 있습니다. DMZ에 위치한 시스템은 내부 시스템 및 민감한 데이터(예: 데이터베이스에 저장되고 웹 애플리케이션에서 사용되는 고객 데이터)에 액세스할 수 있지만, 이러한 DMZ 기반 시스템과 내부 시스템 간의 연결은 악성 콘텐츠에 대한 추가 검사를 거칩니다.
DMZ는 조직의 네트워크 내에 있는 격리된 하위 네트워크입니다. DMZ는 DMZ와 신뢰할 수 없는 외부 네트워크(예: 인터넷) 사이와 DMZ와 신뢰할 수 있는 내부 네트워크 사이의 두 개의 엄격한 분할 경계로 정의됩니다.
DMZ와 다른 네트워크 간의 이러한 경계는 엄격하게 적용되고 보호됩니다. 조직은 DMZ의 두 경계에 방화벽 을 배포합니다. 이러한 차세대 방화벽 (NGFW)은 네트워크 경계를 통과하는 모든 트래픽을 검사하고 악성 콘텐츠가 인터넷에서 DMZ로 또는 DMZ에서 보호된 내부 네트워크로 경계를 넘기 전에 탐지하고 차단할 수 있습니다.
이러한 네트워크 방화벽 은 DMZ와 내부 시스템 간에 액세스 제어를 적용할 수 있기 때문에 DMZ의 보안에 필수적입니다. 이러한 액세스 제어는 손상된 시스템으로 인해 내부 시스템이 위험에 처할 수 있는 가능성을 최소화하고 공격자가 네트워크 전체에서 DMZ의 손상된 시스템에서 측면으로 이동할 수 있는 가능성을 최소화하는 데 필수적입니다.
방화벽만 있으면 DMZ의 경계를 정의할 수 있지만 조직은 이러한 경계에 추가 방어 체계를 구축할 수도 있습니다. DMZ 내에서 구현된 서비스에 따라 조직은 WAF(웹 애플리케이션 방화벽), 이메일 검사 솔루션 또는 기타 보안 제어를 배포하여 배포된 서비스에 대상 보호를 제공할 수 있습니다.
DMZ를 구현하면 조직은 네트워크 내에서 다양한 신뢰 수준과 영역을 정의할 수 있습니다. 이는 조직에 다음과 같은 여러 가지 이점을 제공합니다.
DMZ는 조직의 내부 네트워크와 공용 인터넷 간에 추가 보호 수준을 조직에 제공합니다. DMZ에서 잠재적으로 취약한 시스템을 격리함으로써 조직은 내부 시스템에 대한 위험을 줄일 수 있습니다.
그러나 DMZ는 경계를 방어하는 방화벽이 잠재적인 위협을 탐지하고 강력한 액세스 제어를 구현할 수 있는 경우에만 유용합니다. NGFW에서 무엇을 찾아야 하는지 알아보려면 이 구매자 가이드를 확인하십시오. 또한 이 데모를 통해 체크 포인트 NGFW가 네트워크 보안을 어떻게 개선할 수 있는지 확인할 수 있습니다.