Uma rede DMZ, em homenagem à área desmilitarizada que fica entre duas áreas controladas por forças ou nações opostas, é uma sub-rede na infraestrutura de rede de uma organização localizada entre a rede interna protegida e uma rede não confiável (geralmente a Internet). A rede DMZ de uma organização contém serviços voltados ao público e foi projetada para ajudar a proteger as redes internas.
Uma DMZ é projetada para fornecer um local para serviços que pertencem a uma organização, mas são menos confiáveis ou mais expostos a comprometimentos. Exemplos de sistemas comumente implantados em uma DMZ incluem:
Todos esses sistemas devem ser acessíveis ao público. No entanto, todos eles também são potencialmente vulneráveis a serem comprometidos (como a exploração de aplicativos da web vulnerabilidade) ou podem ser usados em um ataque, como o uso de DNS para Negação distribuída de serviço (Distributed Denial of Service, DDoS) (DDoS) amplificação de ataque.
Uma DMZ permite que uma organização exponha funcionalidades voltadas para a Internet sem colocar em risco o restante de seus sistemas internos. Embora os sistemas localizados na DMZ possam ter acesso a sistemas internos e dados confidenciais – como os dados de clientes armazenados em bancos de dados e usados por aplicativos da web – as conexões entre esses sistemas baseados na DMZ e os sistemas internos passam por inspeção adicional em busca de conteúdo malicioso.
Uma DMZ é uma sub-rede isolada dentro da rede de uma organização. A DMZ é definida por dois limites segmentados estritos: um entre a DMZ e a rede externa não confiável (ou seja, a Internet) e outro entre a DMZ e a rede interna confiável.
Estas fronteiras entre a DMZ e outras redes são rigorosamente aplicadas e protegidas. Uma organização implantará firewall em ambos os limites da DMZ. Esses Firewall de próxima geração (NGFWs) inspecionam todo o tráfego que cruza os limites da rede e têm a capacidade de detectar e bloquear conteúdo malicioso antes que ele cruze os limites da Internet para a DMZ ou da DMZ para a rede interna protegida.
Esses firewallde rede são essenciais para a segurança da DMZ porque têm a capacidade de impor controles de acesso entre a DMZ e os sistemas internos. Esses controles de acesso são essenciais para minimizar a possibilidade de um sistema comprometido colocar os sistemas internos em risco e de um invasor poder mover-se lateralmente de um sistema comprometido na DMZ por toda a rede.
Embora um firewall seja tudo o que é necessário para definir os limites de uma DMZ, uma organização também pode implantar defesas adicionais nesses limites. Dependendo dos serviços implementados na DMZ, uma organização pode desejar implantar um Firewall de aplicativo da web (Web Application Firewall, WAF) (WAF), uma solução de verificação de e-mail ou outros controles de segurança para fornecer proteção direcionada aos serviços implantados.
A implementação de uma DMZ permite que uma organização defina vários níveis e zonas de confiança diferentes em sua rede. Isso proporciona uma série de benefícios para uma organização, incluindo:
Uma DMZ fornece a uma organização um nível adicional de proteção entre a rede interna de uma organização e a Internet pública. Ao isolar sistemas potencialmente vulneráveis numa DMZ, uma organização diminui o risco para os seus sistemas internos.
No entanto, uma DMZ só é útil se o firewall que defende os seus limites for capaz de detectar ameaças potenciais e implementar fortes controles de acesso. Para saber o que procurar em um NGFW, consulte este guia do comprador. Você também pode conferir esta demo para ver como os NGFWs da Check Point podem melhorar a segurança da sua rede.