What is a DMZ Network?

Uma rede DMZ, em homenagem à área desmilitarizada que fica entre duas áreas controladas por forças ou nações opostas, é uma sub-rede na infraestrutura de rede de uma organização localizada entre a rede interna protegida e uma rede não confiável (geralmente a Internet). A rede DMZ de uma organização contém serviços voltados ao público e foi projetada para ajudar a proteger as redes internas.

Solicite uma demo Guia do comprador NGFW

What is a DMZ Network?

O objetivo de uma DMZ

Uma DMZ é projetada para fornecer um local para serviços que pertencem a uma organização, mas são menos confiáveis ou mais expostos a comprometimentos. Exemplos de sistemas comumente implantados em uma DMZ incluem:

  • Servidor da Web
  • Servidor dns
  • Servidor de e-mail
  • Servidor FTP

Todos esses sistemas devem ser acessíveis ao público. No entanto, todos eles também são potencialmente vulneráveis a serem comprometidos (como a exploração de aplicativos da web vulnerabilidade) ou podem ser usados em um ataque, como o uso de DNS para Negação distribuída de serviço (Distributed Denial of Service, DDoS) (DDoS) amplificação de ataque.

Uma DMZ permite que uma organização exponha funcionalidades voltadas para a Internet sem colocar em risco o restante de seus sistemas internos. Embora os sistemas localizados na DMZ possam ter acesso a sistemas internos e dados confidenciais – como os dados de clientes armazenados em bancos de dados e usados por aplicativos da web – as conexões entre esses sistemas baseados na DMZ e os sistemas internos passam por inspeção adicional em busca de conteúdo malicioso.

Arquitetura de rede DMZ

Uma DMZ é uma sub-rede isolada dentro da rede de uma organização. A DMZ é definida por dois limites segmentados estritos: um entre a DMZ e a rede externa não confiável (ou seja, a Internet) e outro entre a DMZ e a rede interna confiável.

Estas fronteiras entre a DMZ e outras redes são rigorosamente aplicadas e protegidas. Uma organização implantará firewall em ambos os limites da DMZ. Esses Firewall de próxima geração (NGFWs) inspecionam todo o tráfego que cruza os limites da rede e têm a capacidade de detectar e bloquear conteúdo malicioso antes que ele cruze os limites da Internet para a DMZ ou da DMZ para a rede interna protegida.

Esses firewallde rede são essenciais para a segurança da DMZ porque têm a capacidade de impor controles de acesso entre a DMZ e os sistemas internos. Esses controles de acesso são essenciais para minimizar a possibilidade de um sistema comprometido colocar os sistemas internos em risco e de um invasor poder mover-se lateralmente de um sistema comprometido na DMZ por toda a rede.

Embora um firewall seja tudo o que é necessário para definir os limites de uma DMZ, uma organização também pode implantar defesas adicionais nesses limites. Dependendo dos serviços implementados na DMZ, uma organização pode desejar implantar um Firewall de aplicativo da web (Web Application Firewall, WAF) (WAF), uma solução de verificação de e-mail ou outros controles de segurança para fornecer proteção direcionada aos serviços implantados.

Benefícios da rede DMZ

A implementação de uma DMZ permite que uma organização defina vários níveis e zonas de confiança diferentes em sua rede. Isso proporciona uma série de benefícios para uma organização, incluindo:

  • Proteção de sistemas voltados para a Internet: servidores de e-mail, aplicativos da web e outros sistemas voltados para a Internet precisam de acesso a dados confidenciais, o que significa que devem ser protegidos contra ataques. Colocar esses sistemas na DMZ permite que eles sejam acessíveis à Internet pública e ao mesmo tempo protegidos pelo firewall externo.
  • Proteção de Sistemas Internos: Alguns sistemas na DMZ (como servidores FTP) representam uma ameaça aos sistemas dentro da rede de uma organização. Colocar esses sistemas em uma DMZ garante que exista outra camada de inspeção de segurança entre esses sistemas e a rede interna da organização.
  • Movimento lateral limitado: Os ciberataques geralmente exploram um sistema para obter uma posição segura em uma rede e, em seguida, expandem seu acesso a partir dessa posição. Como os sistemas mais vulneráveis e exploráveis estão localizados na DMZ, é mais difícil utilizá-los como ponto de apoio para obter acesso e explorar a rede interna protegida.
  • Prevenção da verificação de rede: Os invasores geralmente verificam as redes das organizações para identificar computadores e software que possam estar vulneráveis à exploração. A implementação de uma DMZ estrutura a rede de modo que apenas os sistemas destinados a serem voltados para a Internet sejam realmente visíveis e digitalizáveis a partir da Internet pública.
  • Controle de acesso aprimorado: Colocar um firewall entre a rede interna e os sistemas voltados para a Internet permite que todas as conexões entre esses sistemas sejam inspecionadas. Isso permite que a organização defina e aplique estritamente controles de acesso para fornecer proteção aos sistemas internos.
  • Desempenho de rede aprimorado: Os sistemas voltados para a Internet são projetados para serem acessados frequentemente por usuários externos. Colocar esses sistemas em uma DMZ reduz a carga na infraestrutura de rede interna e firewall, melhorando seu desempenho.

Implementando uma DMZ segura

Uma DMZ fornece a uma organização um nível adicional de proteção entre a rede interna de uma organização e a Internet pública. Ao isolar sistemas potencialmente vulneráveis numa DMZ, uma organização diminui o risco para os seus sistemas internos.

No entanto, uma DMZ só é útil se o firewall que defende os seus limites for capaz de detectar ameaças potenciais e implementar fortes controles de acesso. Para saber o que procurar em um NGFW, consulte este guia do comprador. Você também pode conferir esta demo para ver como os NGFWs da Check Point podem melhorar a segurança da sua rede.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK