क्या डीएमजेड मर चुका है? काफी नहीं

Anonim
डाटा सेंटर डिमाइलेटाइज्ड जोन

एक ध्वस्त क्षेत्र (डीएमजेड) का सबसे अच्छा उदाहरण आज कोरिया में जमीन की भारी सुरक्षा वाली पट्टी है। यह उत्तर कोरिया और दक्षिण कोरिया के बीच की सीमा के दोनों ओर का क्षेत्र है जिसका उद्देश्य प्रत्येक राष्ट्र को गलती से दूसरे के साथ युद्ध शुरू करने से रोकना है। कंप्यूटिंग में, एक डीएमजेड अवधारणा में समान है कि यह एक ऐसी जगह प्रदान करता है जो इंटरनेट की अविश्वसनीय दुनिया को आपके संगठन के आंतरिक नेटवर्क से बाहर रखता है, जबकि अभी भी बाहरी दुनिया को सेवाएं प्रदान करता है। लंबे समय तक, किसी भी आईटी पेशेवर भवन में लगभग किसी भी तरह का इंटरनेट से जुड़ा नेटवर्क डीएमजेड को पाठ्यक्रम के रूप में एक साथ रखता है। लेकिन बादल ने वह सब बदल दिया है।

आईटी देखो बग कला कारण यह है कि क्लाउड ने अधिकांश कंपनियों को अपने स्वयं के वेब सर्वरों की मेजबानी करने की आवश्यकता को कम कर दिया है। दिन में वापस, यदि आपके पास एक इन-हाउस वेब सर्वर था जो जनता के लिए खुला था, तो आप उस सर्वर को अपने DMZ में रहना चाहेंगे। इसी तरह, आप अपना ईमेल सर्वर वहां चाहते थे, और कोई अन्य बाहरी-सामना करने वाला सर्वर, जैसे आपका रिमोट एक्सेस गेटवे, एक प्रमाणीकरण सर्वर, प्रॉक्सी सर्वर, या शायद टेलनेट सर्वर भी। ये सभी उपकरण हैं जो इंटरनेट से सुलभ होने चाहिए लेकिन जो आपके संगठन से सेवाएं प्रदान करते हैं। आज, निश्चित रूप से, अधिकांश कंपनियां सॉफ़्टवेयर-ए-ए-सर्विस (सास) अनुप्रयोगों को तैनात करने के साथ-साथ होस्ट किए गए ईमेल प्रदाताओं का उपयोग करती हैं जो आपके डेटा कोठरी में बाहरी रूप से सामना करने वाले वेब सर्वर को अनावश्यक बनाते हैं।

एंटरप्राइज़ अतिरिक्त सुरक्षा उपाय 2017 लिया गया

एंटरप्राइज क्लाउड सिक्योरिटी अतिरिक्त उपाय 2017

यदि आपको अभी भी ऑपरेशन में DMZ मिला है, तो आप पाएंगे कि यह नेटवर्क विभाजन का एक विशिष्ट उदाहरण है। बारीकी से देखें और आपको आमतौर पर फायरवॉल और राउटर के कुछ संयोजन मिलेंगे। ज्यादातर मामलों में, डीएमजेड एक किनारे सुरक्षा उपकरण (आमतौर पर एक फ़ायरवॉल) द्वारा बनाया जाएगा जो आंतरिक नेटवर्क के फाटकों की रक्षा करने वाले दूसरे राउटर या फ़ायरवॉल द्वारा समर्थित है।

हालांकि अधिकांश संगठनों को अब बाहरी दुनिया से खुद को बचाने के लिए डीएमजेड की आवश्यकता नहीं है, लेकिन मूल्यवान डिजिटल उपहारों को अपने बाकी नेटवर्क से अलग करने की अवधारणा अभी भी एक शक्तिशाली सुरक्षा रणनीति है। यदि आप DMZ तंत्र को पूरी तरह से आंतरिक आधार पर लागू करते हैं, तो अभी भी ऐसे मामलों का उपयोग होता है जो समझ में आता है। एक उदाहरण मूल्यवान डेटा स्टोर, एक्सेस कंट्रोल लिस्ट या इसी तरह के ट्रेजर ट्राव्स तक पहुंच की रक्षा करना है; आप चाहते हैं कि किसी भी संभावित अनधिकृत उपयोगकर्ता पहुंच से पहले जितनी संभव हो उतने अतिरिक्त हुप्स के माध्यम से कूद सकें।

कैसे एक DMZ काम करता है

एक DMZ इस तरह काम करता है: एक किनारे फ़ायरवॉल होगा जो खुले इंटरनेट की भयावहता का सामना करता है। उसके बाद DMZ और एक अन्य फ़ायरवॉल होगा जो आपकी कंपनी लोकल एरिया नेटवर्क (LAN) की सुरक्षा करता है। उस फ़ायरवॉल के पीछे आपका आंतरिक नेटवर्क होगा। इस अतिरिक्त इन-नेटवर्क नेटवर्क को जोड़कर, आप अतिरिक्त सुरक्षा परतों को लागू कर सकते हैं, जिन्हें आपके वास्तविक आंतरिक नेटवर्क तक पहुंचने से पहले दुर्व्यवहारियों को हराने की आवश्यकता होगी - जहां सब कुछ संभवतः नेटवर्क एक्सेस कंट्रोल द्वारा ही कवर किया जाता है, लेकिन एंडपॉइंट सुरक्षा सूट भी।

पहले फ़ायरवॉल और दूसरे के बीच, आपको सामान्य रूप से एक स्विच मिलेगा जो सर्वर और उपकरणों के लिए एक नेटवर्क कनेक्शन प्रदान करता है जो इंटरनेट पर उपलब्ध होना चाहिए। स्विच दूसरे फ़ायरवॉल को भी कनेक्शन प्रदान करता है।

पहले फ़ायरवॉल को केवल ट्रैफ़िक की अनुमति देने के लिए कॉन्फ़िगर किया जाना चाहिए जो आपके आंतरिक LAN और DMZ में सर्वर तक पहुंचने की आवश्यकता है। आंतरिक फ़ायरवॉल को केवल विशिष्ट पोर्ट के माध्यम से ट्रैफ़िक की अनुमति देनी चाहिए जो आपके आंतरिक नेटवर्क के संचालन के लिए आवश्यक हैं।

DMZ में, आपको अपने सर्वर को केवल विशिष्ट पोर्ट पर ट्रैफ़िक स्वीकार करने और केवल विशिष्ट प्रोटोकॉल स्वीकार करने के लिए कॉन्फ़िगर करना चाहिए। उदाहरण के लिए, आप केवल पोर्ट 80 से हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) पर यातायात को सीमित करना चाहेंगे। आप उन सर्वरों को भी कॉन्फ़िगर करना चाहेंगे ताकि वे कार्य करने के लिए केवल आवश्यक सेवाएं चलाएं। आप अपने डीएमजेड में सर्वरों पर एक घुसपैठ का पता लगाने वाली प्रणाली (आईडीएस) मॉनिटर गतिविधि भी कर सकते हैं ताकि फ़ायरवॉल के माध्यम से होने वाले मैलवेयर हमले का पता लगाया जा सके और उसे रोका जा सके।

आंतरिक फ़ायरवॉल एक अगली पीढ़ी का फ़ायरवॉल (NGFW) होना चाहिए जो आपके ट्रैफ़िक का निरीक्षण करता है जो आपके फ़ायरवॉल में खुले बंदरगाहों से गुजरता है और घुसपैठ या मैलवेयर के संकेत भी देखता है। यह फ़ायरवॉल है जो आपके नेटवर्क के मुकुट रत्नों की रक्षा कर रहा है इसलिए यह कंजूसी करने का स्थान नहीं है। NGFWs के निर्माताओं में बाराकुड, चेक प्वाइंट, सिस्को, फोर्टिनेट, जुनिपर और पालो ऑल्टो शामिल हैं।

डेटासेंटर ईथरनेट केबल CC0 लाइसेंस

ईथरनेट पोर्ट DMZ पोर्ट के रूप में

छोटे संगठनों के लिए, एक और कम महंगा दृष्टिकोण है जो अभी भी एक डीएमजेड प्रदान करेगा। कई घर और छोटे व्यवसाय राउटर्स में एक फ़ंक्शन शामिल होता है जो आपको ईथरनेट पोर्ट में से एक DMZ पोर्ट के रूप में नामित करने की अनुमति देता है। यह आपको उस पोर्ट पर एक वेब सर्वर जैसे उपकरण को रखने की अनुमति देता है जहां यह आपके आईपी पते को साझा कर सकता है लेकिन बाहरी दुनिया के लिए भी उपलब्ध है। कहने की जरूरत नहीं है, इस सर्वर को यथासंभव बंद किया जाना चाहिए और केवल पूरी तरह से आवश्यक सेवाएं चलनी चाहिए। अपने सेगमेंट को मांस देने के लिए, आप उस पोर्ट पर एक अलग स्विच लगा सकते हैं और DMZ में एक से अधिक डिवाइस रख सकते हैं।

ऐसे नामित DMZ पोर्ट के उपयोग के लिए नकारात्मक पक्ष यह है कि आपके पास विफलता का केवल एक बिंदु है। हालांकि इनमें से अधिकांश राउटरों में एक एम्बेडेड फ़ायरवॉल भी शामिल है, वे आम तौर पर एक एनजीएफडब्ल्यू की पूर्ण सुविधा सेट को शामिल नहीं करते हैं। इसके अलावा, यदि राउटर का उल्लंघन होता है, तो ऐसा ही आपका नेटवर्क है।

जबकि राउटर-आधारित DMZ काम करता है, यह संभवतः उतना सुरक्षित नहीं है जितना आप चाहते हैं। बहुत कम से कम, आप इसके पीछे एक दूसरा फ़ायरवॉल जोड़ने पर विचार करना चाह सकते हैं। यह थोड़ा अतिरिक्त खर्च होगा, लेकिन यह लगभग उतना खर्च नहीं करेगा जितना एक डेटा उल्लंघन होगा। इस तरह के एक सेटअप के साथ अन्य प्रमुख परिणाम यह है कि यह प्रशासन के लिए और अधिक जटिल है, यह देखते हुए कि इस दृष्टिकोण का उपयोग करने वाली छोटी कंपनियों में आमतौर पर आईटी कर्मचारी नहीं होते हैं, आप इसे स्थापित करने के लिए एक सलाहकार संलग्न करना चाहते हैं और फिर प्रबंधित कर सकते हैं। समय-समय पर।

क्लाउड में सुरक्षा

DMZ के लिए एक अनुरोध

सम्बंधित

  • 2019 के लिए सर्वश्रेष्ठ वीपीएन सेवाएं 2019 के लिए सर्वश्रेष्ठ वीपीएन सेवाएं
  • 2019 के लिए बेस्ट होस्टेड एंडपॉइंट प्रोटेक्शन एंड सिक्योरिटी सॉफ्टवेयर 2019 के लिए बेस्ट होस्टेड एंडपॉइंट प्रोटेक्शन एंड सिक्योरिटी सॉफ्टवेयर
  • 2019 के लिए सर्वश्रेष्ठ नेटवर्क निगरानी सॉफ्टवेयर 2019 के लिए सर्वश्रेष्ठ नेटवर्क निगरानी सॉफ्टवेयर

जैसा कि पहले उल्लेख किया गया है, आपको बहुत सारे DMZ अभी भी जंगली में नहीं मिलेंगे। कारण यह है कि डीएमजेड का उद्देश्य एक समारोह को भरना था जिसे आज अधिकांश व्यावसायिक कार्यों के लिए क्लाउड में संभाला जा रहा है। आपके द्वारा परिकल्पित प्रत्येक SaaS ऐप और आपके द्वारा होस्ट किए गए प्रत्येक सर्वर को आपके डेटा सेंटर से बाहर और क्लाउड में बाह्य रूप से सामना करने वाले सभी बुनियादी ढांचे को स्थानांतरित करता है, और DMZ सवारी के लिए साथ चले गए हैं। इसका अर्थ है कि आप क्लाउड सेवा चुन सकते हैं, एक उदाहरण लॉन्च कर सकते हैं जिसमें एक वेब सर्वर शामिल है, और क्लाउड प्रदाता के फ़ायरवॉल के साथ उस सर्वर को सुरक्षित रखें और आप सेट हैं। अपने आंतरिक नेटवर्क में एक अलग से कॉन्फ़िगर किए गए नेटवर्क सेगमेंट को जोड़ने की आवश्यकता नहीं है क्योंकि सब कुछ किसी भी तरह से हो रहा है। साथ ही, वे अन्य कार्य जो आप DMZ के साथ उपयोग कर सकते हैं, वे भी क्लाउड में उपलब्ध हैं, और इस तरह से, आप और भी सुरक्षित हो जाएंगे।

फिर भी, एक सामान्य सुरक्षा रणनीति के रूप में, यह पूरी तरह से व्यवहार्य उपाय है। आपके फ़ायरवॉल के पीछे DMZ-स्टाइल नेटवर्क सेगमेंट बनाने से वही फ़ायदा होता है जैसा आपने अपने LAN और इंटरनेट के बीच स्क्वैश करने के लिए किया था: एक और सेगमेंट का मतलब है कि अधिक सुरक्षा के लिए आप बुरे लोगों को घुसने से पहले मजबूर कर सकते हैं वे वास्तव में क्या चाहते हैं। और जितना अधिक उन्हें काम करना है, उतनी देर तक आप या आपके खतरे का पता लगाने और प्रतिक्रिया प्रणाली को उन्हें हाजिर करना होगा और प्रतिक्रिया करनी होगी।

एज कम्प्यूटिंग ऐ

दिलचस्प लेख

अनुशंसित