VLANセキュリティと比較してDMZ
この質問 は、DMZと、サーバーを1つに配置するタイミングについて非常にわかりやすいことがわかりました。
社内ネットワークを再編成し(同じ外部IPとドメインを維持)、mainly Windowsサーバー(WinADを頻繁に使用)は、ファイアウォールとポート転送を備えたLANに直接接続されます。外部トラフィック。
DMZ内ではなく、内部ネットワークの残りの部分に別のVLAN)でサーバー(例:電子メール)を設定する場合のセキュリティ(欠点)の利点は何ですか?
これは、りんごとオレンジの比較です。 DMZは、侵害のリスクがより大きいシステムの個別のネットワークセグメントです。 VLANは、同じ物理ネットワーク上の異なる論理ネットワーク間を論理的に分離するためのメカニズムです。
別のネットワークインフラストラクチャを使用して物理的に分離するか、同じネットワークインフラストラクチャで論理的に分離することによってDMZを実装する必要がありますか?
物理的な分離では、主な障壁はコストです。少数のDMZシステムのように聞こえる専用ネットワーク機器に投資します。また、そのインフラストラクチャの設定と維持には、余分な管理時間が必要です。
VLAN分離を使用すると、基本的には物理分離と同じ論理インフラストラクチャを構築できます。独自のサブネットを持つ専用VLAN、サブネット間のルーティングを行うデバイスはアクセス制御などを適用します。
ただし、問題はセキュリティです。同じ物理インフラストラクチャを共有すると、DMZデバイスを危険にさらした攻撃者が非DMZネットワークにアクセスしようとする潜在的な攻撃対象の数が増加します。
論理的な分離だけを使用する場合、VLANホッピング攻撃、およびDMZにアクセス可能な(ただし両方のネットワークにサービスを提供している)ネットワークデバイスに対する直接のリモートエクスプロイトは、潜在的なリスクであり、ネットワーク間の障壁を危うくする単一のデバイス。