web-dev-qa-db-ja.com

DMZ

したがって、割り当てのために、ネットワーク内のいくつかのサーバーのスキーム(および最終的にはセットアップ)を作成する必要があります。

「ネットワーク」は次のとおりです。

  1. 内部ネットワーク
  2. DMZ
  3. インターネット

配置する必要があるサーバーは次のとおりです。

  1. DNSサーバー
  2. Active Directory([複数] DC)
  3. MSSQLサーバー
  4. ウェブサーバー
  5. MS Exchange 2010 Server、3つの部分に分割:クライアント側、SMTP、およびその他の機能(何であれ)

今、私はこれらのサーバーのどれがDMZ <->内部に置くべきかを考えていました。

MSSQL serverおよびAD server(s)は、内部ネットワーク内に配置する必要があります。その中で私はかなり確信しています(?:D)。

webserverおよびDNS server[〜#〜] dmz [〜#〜]、 正しい?理由がわからないので、それについての説明もいただければ幸いです。

しかし、3つのExchangeサーバーがあります。これらのどの部分をどこに配置すればよいのか、まったくわかりません。(メール)サーバーに関するヒントやヒント、ベストプラクティスを誰かに教えてもらえますか?

また、これらのネットワーク(内部、DMZおよびインターネット)をルーティング/ファイアウォールするために、Forefront TMGを使用します。

どんな助けでも大歓迎です!

9

DMZ外部からアクセスする必要のあるサーバーを配置します。これらのサーバーは外部の世界(敵対的であると想定されています)から到達可能であるため、これらのサーバーは潜在的に攻撃者によるハイジャックの対象となります。DMZは封じ込め領域であるため、破壊されたサーバーはすぐにアクセスできません最も貴重なデータ(おそらく内部ネットワークに保持されます)。

ADサーバーとSQLサーバーは、外部のマシンではなく、ネットワークのマシンでのみ使用されることを想定しているため、内部ネットワークに配置します。 Webサーバーは外部クライアントからのアクセスを想定しているため、DMZに配置します。同様に、ドメイン(WebサーバーのIPアドレスなど)を外部に公開するDNSサーバーも、外部からアクセスできるようになっているため、DMZになります。

例外なくルールはありません。場合によっては、外部から内部ネットワークへのデータパスが必要になることがあります。通常、電子メールはインターネットから送信されますが、最終的にはデスクトップシステムに表示される必要があります。通常、受信メールを内部ネットワークにあるサーバーに保存します(これはネットワークで最も安全な場所と推定されます)が、独自のSMTPサーバーを実行している場合(incomingメール)、その場合はDMZに存在する必要があります。

それは本当にあなたの正確な状況に依存しますが、経験則は単純です:DMZは外部から連絡できるものです

13
Tom Leek

一般的には、どのハードウェアを信頼し、どのハードウェアを信頼しないかを決定するという考え方です。露出度が高く、機密データを含まないものは、信頼する必要はなく、外部に住むことができます。 Webサーバーの機密データがDBによって提供される場合、Webサーバー自体は比較的信頼されない可能性がありますが、これは、HTTPSなど、Webサーバーである程度の信頼を維持する必要がある多くの場合に機能しなくなります。内部ネットワークから遮断されている可能性もありますが、可能な限り隔離する必要があります。

重要なのは、外部からアクセスする必要がある量と、その露出がコアネットワークにもたらすリスク量の組み合わせです。システムを分離する障壁をさらに追加することにより、そのリスクを軽減しようとしています。

それが正確なリストではない場合は申し訳ありませんが、うまくいけば、答えを明確にするのに十分なコンセプトが明確になります(そして、「完全な」または「正しい」答えが常にあるとは限りません。セキュリティは、さまざまな矛盾するニーズのバランスを取ることでもあります使いやすさ(良いユーザーを入れる)やアクセス制御(悪いユーザーを入れない)など。

2
AJ Henderson

手伝わせてください。システム全体のしくみがわからないという理由だけで、誤って資産を誤って公開してしまった場合は、もっと心配する必要があります。この類推を考えてみましょう。あなたには城があり、それは王とその男性(サブ王国の支配者)を収容しています。これらのエンティティは最も内側の保護バリア_(internal(internal))_に収容されています。単純な理由で最も内側のサークルが楽しんでいる人や王が同じレベルで特権を享受しないでください。それらの束が彼の近くにいるのが嫌いです。したがって、これらの人々はless-trusted(internal).にとどまります

セキュリティコンテキストでは、その信頼レベルと呼ばれるCIAレーティングでCIAレーティングが高いアセットは、通常、セキュリティコントロールが強化され、最も保護されている場所に配置されます。類推に戻ると、城の最外層の妥協点があり、これらの景品がキングゾーン内を移動する特定のプロトコルがあります。たとえば、定期的なチェックプロトコルに従って、その外層の構成されたアセットをドリルダウンしてみましょう。無料で、最も高い特権(王の乗組員と彼)に高い信頼レベルを持つ人への許可されたアクセスのように。

これもあなたが考えるべき方法であり、ビジネス要件にマッピングするだけで十分です。それがTMGであるか、または外部パラメーターに公開する他のサービスであるかを理解し、戦いが中断したときに準備ができていることを確認してください。これらの男は最初に、時にはハードに、時にはサイレントに攻撃されます。 * つまり、適切なDMZは、機能の承認されたチャネルを提供する攻撃カバレッジ(セキュリティリーク)を分離するものです。 *常に注意深く監視する必要があります。これらの公的資産が直面する脅威、景観は頻繁に変化します。

0
Saladin