Apakah dmz sudah mati? tidak terlalu

Contoh terbaik zona demiliterisasi (DMZ) saat ini adalah sebidang tanah yang dijaga ketat di Korea. Itu adalah wilayah di kedua sisi perbatasan antara Korea Utara dan Korea Selatan yang dimaksudkan untuk menjaga setiap negara dari tidak sengaja memulai perang dengan yang lain. Dalam komputasi, DMZ memiliki konsep yang serupa karena memberikan tempat yang membuat dunia internet yang tidak terpercaya keluar dari jaringan internal organisasi Anda, sambil tetap menawarkan layanan ke dunia luar. Untuk waktu yang lama, setiap profesional TI membangun hampir semua jenis jaringan yang terhubung internet mengumpulkan DMZ sebagai hal yang biasa. Tetapi awan telah mengubah semua itu.

Alasannya adalah bahwa cloud telah menghilangkan kebutuhan sebagian besar perusahaan untuk meng-host server web mereka sendiri. Kembali pada hari itu, jika Anda memiliki server web in-house yang terbuka untuk umum, maka Anda ingin server itu hidup di DMZ Anda. Anda juga menginginkan server email Anda di sana, dan server lain yang menghadap ke luar, seperti gateway akses jarak jauh, server otentikasi, server proxy, atau bahkan mungkin server Telnet. Ini semua adalah perangkat yang harus dapat diakses dari internet tetapi yang menyediakan layanan dari organisasi Anda. Hari ini, tentu saja, sebagian besar perusahaan menggunakan penyedia email yang di-host bersama dengan menyebarkan aplikasi Software-as-a-Service (SaaS) yang membuat perumahan server web yang menghadap eksternal di lemari data Anda tidak perlu.

Langkah-langkah keamanan tambahan perusahaan diambil pada 2017

Jika Anda masih memiliki DMZ dalam operasi, maka Anda akan menemukan itu adalah contoh khas segmentasi jaringan. Perhatikan baik-baik dan umumnya Anda akan menemukan beberapa kombinasi firewall dan router. Dalam kebanyakan kasus, DMZ akan dibuat oleh perangkat keamanan tepi (biasanya firewall) yang kemudian didukung oleh router lain atau firewall yang menjaga gerbang ke jaringan internal.

Sementara sebagian besar organisasi tidak lagi membutuhkan DMZ untuk melindungi diri mereka dari dunia luar, konsep memisahkan barang digital yang berharga dari sisa jaringan Anda masih merupakan strategi keamanan yang kuat. Jika Anda menerapkan mekanisme DMZ secara keseluruhan internal, maka masih ada kasus penggunaan yang masuk akal. Salah satu contoh adalah melindungi akses ke penyimpanan data yang berharga, daftar kontrol akses, atau harta karun serupa; Anda ingin setiap pengguna potensial yang tidak sah melompati sebanyak mungkin lingkaran tambahan sebelum mereka mendapatkan akses.

Cara Kerja DMZ

Sebuah DMZ berfungsi seperti ini: Akan ada firewall tepi yang menghadapi kengerian internet terbuka. Setelah itu akan menjadi DMZ dan firewall lain yang melindungi jaringan area lokal perusahaan Anda (LAN). Di balik firewall itu akan ada jaringan internal Anda. Dengan menambahkan jaringan di sela tambahan ini, Anda dapat menerapkan lapisan keamanan tambahan yang harus dikalahkan oleh orang yang tidak puas sebelum mereka dapat mencapai jaringan internal Anda yang sebenarnya - di mana semuanya mungkin juga tidak hanya ditanggung oleh kontrol akses jaringan tetapi juga paket perlindungan titik akhir.

Di antara firewall pertama dan yang kedua, Anda biasanya akan menemukan sakelar yang menyediakan koneksi jaringan ke server dan perangkat yang harus tersedia di internet. Switch juga menyediakan koneksi ke firewall kedua.

Firewall pertama harus dikonfigurasi agar hanya mengizinkan lalu lintas yang perlu mencapai LAN internal Anda dan server di DMZ. Firewall internal harus mengizinkan lalu lintas hanya melalui port tertentu yang diperlukan untuk pengoperasian jaringan internal Anda.

Di DMZ, Anda harus mengonfigurasi server Anda untuk hanya menerima lalu lintas di port tertentu dan hanya menerima protokol tertentu. Misalnya, Anda ingin membatasi lalu lintas di Port 80 hanya untuk HyperText Transfer Protocol (HTTP). Anda juga ingin mengkonfigurasi server-server itu sehingga mereka hanya menjalankan layanan yang diperlukan agar berfungsi. Anda mungkin juga ingin memiliki aktivitas monitor sistem deteksi intrusi (IDS) pada server di DMZ Anda sehingga serangan malware yang membuatnya melalui firewall dapat dideteksi dan dihentikan.

Firewall internal haruslah firewall generasi berikutnya (NGFW) yang melakukan inspeksi terhadap lalu lintas Anda yang melewati port terbuka di firewall Anda dan juga mencari indikasi intrusi atau malware. Ini adalah firewall yang melindungi permata mahkota jaringan Anda sehingga bukan tempat untuk berhemat. Pembuat NGFW termasuk Barracude, Check Point, Cisco, Fortinet, Juniper, dan Palo Alto, antara lain.

Port Ethernet sebagai Port DMZ

Untuk organisasi yang lebih kecil, ada pendekatan lain yang lebih murah yang masih akan memberikan DMZ. Banyak router rumahan dan bisnis kecil menyertakan fungsi yang memungkinkan Anda untuk menunjuk salah satu port Ethernet sebagai port DMZ. Ini memungkinkan Anda untuk menempatkan perangkat seperti server web pada port di mana ia dapat membagikan alamat IP Anda, tetapi juga tersedia untuk dunia luar. Tidak perlu dikatakan, server ini harus dikunci sebanyak mungkin dan hanya menjalankan layanan yang benar-benar diperlukan. Untuk menyempurnakan segmen Anda, Anda dapat memasang sakelar terpisah ke port itu dan memiliki lebih dari satu perangkat di DMZ.

Kelemahan dari penggunaan port DMZ yang ditentukan adalah Anda hanya memiliki satu titik kegagalan. Meskipun sebagian besar router ini juga menyertakan firewall yang disematkan, mereka umumnya tidak menyertakan set fitur lengkap NGFW. Selain itu, jika router dilanggar, maka jaringan Anda juga demikian.

Sementara DMZ berbasis router bekerja, itu mungkin tidak seaman yang Anda inginkan. Paling tidak, Anda mungkin ingin mempertimbangkan untuk menambahkan firewall kedua di belakangnya. Ini akan membutuhkan sedikit biaya tambahan tetapi tidak akan menghabiskan biaya sebanyak pelanggaran data. Konsekuensi utama lainnya dengan pengaturan seperti itu adalah bahwa itu lebih kompleks untuk dikelola dan, mengingat bahwa perusahaan kecil yang mungkin menggunakan pendekatan ini biasanya tidak memiliki staf TI, Anda mungkin ingin melibatkan konsultan untuk mengatur ini dan kemudian mengelola dari waktu ke waktu.

Requiem untuk DMZ

• Layanan VPN Terbaik untuk 2019 Layanan VPN Terbaik untuk 2019
• Perangkat Lunak Keamanan dan Keamanan Endpoint Hosted Terbaik untuk 2019 Perangkat Lunak Perlindungan dan Keamanan Endpoint Hosted Terbaik untuk 2019
• Perangkat Lunak Pemantauan Jaringan Terbaik untuk 2019 Perangkat Lunak Pemantauan Jaringan Terbaik untuk 2019

Seperti yang disebutkan sebelumnya, Anda tidak akan menemukan terlalu banyak DMZ yang masih berjalan di alam liar. Alasannya adalah bahwa DMZ dimaksudkan untuk mengisi fungsi yang saat ini ditangani di cloud untuk sebagian besar fungsi bisnis. Setiap aplikasi SaaS yang Anda gunakan dan setiap server yang Anda host semua memindahkan infrastruktur yang menghadap ke luar dari pusat data Anda ke cloud, dan DMZ telah mengikuti perkembangannya. Ini berarti Anda dapat memilih layanan cloud, meluncurkan instance yang menyertakan server web, dan melindungi server itu dengan firewall penyedia cloud dan Anda siap. Tidak perlu menambahkan segmen jaringan yang dikonfigurasi secara terpisah ke jaringan internal Anda karena semuanya terjadi di tempat lain. Plus, fungsi-fungsi lain yang mungkin Anda gunakan dengan DMZ juga tersedia di cloud, dan dengan melakukannya, Anda bahkan akan lebih aman.

Namun, sebagai taktik keamanan umum, ini merupakan langkah yang sepenuhnya dapat dilakukan. Membuat segmen jaringan gaya-DMZ di belakang firewall Anda membawa manfaat yang sama seperti ketika Anda menggunakan squash antara LAN dan internet: segmen lain berarti lebih banyak perlindungan Anda bisa memaksa orang jahat untuk melakukan penetrasi sebelum mereka dapat mencapai apa yang sebenarnya mereka inginkan. Dan semakin mereka harus bekerja, semakin lama Anda atau sistem deteksi dan respons ancaman Anda harus menemukannya dan bereaksi.