Bilgisayar güvenliğinde, bir DMZ (bazen çevre ağı olarak adlandırılır), bir kuruluşun dışarıya bakan hizmetlerini içeren ve genellikle İnternet gibi daha büyük bir güvenilmeyen ağa maruz bırakan fiziksel veya mantıksal bir alt ağdır. DMZ'nin amacı, bir kuruluşun yerel alan ağına (LAN) ek bir güvenlik katmanı eklemektir; harici bir saldırgan, ağın herhangi bir parçası yerine yalnızca DMZ'deki ekipmana erişebilir. İsim, askeri harekata izin verilmeyen ulus devletler arasında bir alan olan 'askersiz bölge' teriminden türemiştir.
Ağınızda bir güvenlik duvarı ve askerden arındırılmış bölge (DMZ) olması yaygın bir uygulamadır, ancak birçok kişi ve hatta BT uzmanları n bazı belirsiz yarı güvenlik fikirleri dışında nedenini gerçekten anlamıyor.
Kendi sunucularını barındıran çoğu işletme, ağlarını, dış dünya ile arayüz oluşturan sistemler için yarı güvenilir bir alan olarak ayrı bir güvenlik duvarında çalışan, ağlarının çevresinde bulunan bir DMZ ile çalıştırır.
Bu tür bölgeler neden var ve içlerinde ne tür sistemler veya veriler bulunmalıdır?
Gerçek güvenliği sürdürmek için, bir DMZ'nin amacını açıkça anlamak önemlidir.
Güvenlik duvarlarının çoğu, ağ düzeyinde güvenlik cihazlarıdır, genellikle bir cihaz veya ağ ekipmanıyla birlikte bir cihazdır. Bir iş ağındaki önemli bir noktada ayrıntılı bir erişim denetimi aracı sağlamayı amaçlamaktadır. Bir DMZ, ağınızın dahili ağınızdan ve İnternetten ayrılmış, ancak her ikisine de bağlı olan bir alanıdır.
Bir DMZ, İnternetten erişilebilir olması gereken, ancak dahili ağınızdan farklı şekillerde barındırmak için tasarlanmıştır. Ağ düzeyinde internete erişim derecesi, güvenlik duvarı tarafından kontrol edilir. Uygulama düzeyinde internete erişebilirlik derecesi yazılım tarafından kontrol edilir n gerçekten bir Web sunucusu, işletim sistemi, özel uygulama ve sıklıkla veritabanı yazılımı kombinasyonu.
DMZ tipik olarak İnternetten ve dahili ağdan sınırlı erişime izin verir. Dahili kullanıcılar, bilgileri güncellemek veya burada toplanan veya işlenen verileri kullanmak için genellikle DMZ içindeki sistemlere erişmelidir. DMZ'nin amacı, halka İnternet aracılığıyla, ancak sınırlı yollarla bilgiye erişim sağlamaktır. Ancak internete ve dahiyane insanlardan oluşan bir dünyaya maruz kaldığı için, bu sistemlerin tehlikeye atılma riski her zaman mevcuttur.
Uzlaşmanın etkisi iki yönlüdür: birincisi, açığa çıkan sistem (ler) ile ilgili bilgiler kaybolabilir (yani kopyalanabilir, yok edilebilir veya bozulabilir) ve ikincisi, sistemin kendisi hassas iç sistemlere yapılacak başka saldırılar için bir platform olarak kullanılabilir.
İlk riski azaltmak için, DMZ yalnızca sınırlı protokoller (ör. Normal Web erişimi için HTTP ve şifreli Web erişimi için HTTPS) aracılığıyla erişime izin vermelidir. Daha sonra, izinler, kimlik doğrulama mekanizmaları, dikkatli programlama ve bazen şifreleme yoluyla koruma sağlamak için sistemlerin kendileri dikkatli bir şekilde yapılandırılmalıdır.
Web sitenizin veya uygulamanızın hangi bilgileri toplayıp depolayacağını düşünün. Sistemler SQL enjeksiyonu, arabellek taşmaları veya yanlış izinler gibi yaygın Web saldırıları yoluyla tehlikeye atılırsa kaybolabilecek olan şey budur.
İkinci riski azaltmak için, DMZ sistemlerine dahili ağda daha derin sistemler tarafından güvenilmemelidir. Diğer bir deyişle, bazı dahili sistemler DMZ sistemleri hakkında bilgi sahibi olabilse de, DMZ sistemleri iç sistemler hakkında hiçbir şey bilmemelidir. Ek olarak, DMZ erişim kontrolleri, DMZ sistemlerinin ağda daha fazla bağlantı başlatmasına izin vermemelidir. Bunun yerine, DMZ sistemleriyle herhangi bir temas, dahili sistemler tarafından başlatılmalıdır. Bir DMZ sistemi saldırı platformu olarak tehlikeye atılırsa, görebileceği tek sistem diğer DMZ sistemleri olmalıdır.
BT yöneticilerinin ve işletme sahiplerinin, İnternette maruz kalan sistemlerin olası hasar türlerini ve DMZ'ler gibi koruma mekanizmalarını ve yöntemlerini anlaması çok önemlidir. Sahipler ve yöneticiler, araçlarının ve süreçlerinin bu riskleri ne kadar etkili bir şekilde azalttığına dair kesin bir kavrayışa sahip olduklarında, hangi riskleri kabul etmeye istekli oldukları konusunda bilinçli kararlar verebilirler.
3 dakika okundu
