ทำความเข้าใจ DMZ - เขตปลอดทหาร
ในการรักษาความปลอดภัยคอมพิวเตอร์ DMZ (บางครั้งเรียกว่าเครือข่ายขอบเขต) เป็นเครือข่ายย่อยทางกายภาพหรือแบบลอจิคัลที่ประกอบด้วยและทำให้บริการภายนอกที่องค์กรภายนอกต้องเผชิญกับเครือข่ายที่ไม่น่าเชื่อถือขนาดใหญ่ซึ่งโดยปกติจะเป็นอินเทอร์เน็ต วัตถุประสงค์ของ DMZ คือการเพิ่มความปลอดภัยเพิ่มเติมให้กับเครือข่ายท้องถิ่น (LAN) ขององค์กร ผู้บุกรุกภายนอกจะมีสิทธิ์เข้าถึงอุปกรณ์ใน DMZ แทนที่จะเป็นส่วนอื่น ๆ ของเครือข่าย ชื่อนี้ได้มาจากเขตปลอดทหารระยะพื้นที่ระหว่างรัฐชาติที่ปฏิบัติการทางทหารไม่ได้รับอนุญาต
เป็นเรื่องปกติที่ต้องมีไฟร์วอลล์และเขตปลอดทหาร (DMZ) ในเครือข่ายของคุณ แต่หลายคนแม้กระทั่งผู้เชี่ยวชาญด้านไอที n ไม่ค่อยเข้าใจว่าเพราะเหตุใดยกเว้นความคิดที่คลุมเครือในแง่กึ่งความปลอดภัย
ธุรกิจส่วนใหญ่ที่เป็นโฮสต์เซิร์ฟเวอร์ของตนเองใช้เครือข่ายของตนกับ DMZ ที่อยู่ในขอบเขตของเครือข่ายของตนโดยปกติจะใช้งานไฟร์วอลล์แยกต่างหากในฐานะที่เป็นพื้นที่กึ่งที่เชื่อถือได้สำหรับระบบที่เชื่อมต่อกับโลกภายนอก
ทำไมเขตดังกล่าวมีอยู่และระบบหรือข้อมูลชนิดใดควรอยู่ในเขตเหล่านี้?
เพื่อรักษาความปลอดภัยอย่างแท้จริงสิ่งสำคัญคือต้องเข้าใจวัตถุประสงค์ของ DMZ อย่างชัดเจน
ไฟร์วอลล์ส่วนใหญ่เป็นอุปกรณ์รักษาความปลอดภัยระดับเครือข่ายซึ่งโดยปกติจะเป็นอุปกรณ์หรือเครื่องใช้ร่วมกับอุปกรณ์เครือข่าย พวกเขามีจุดมุ่งหมายเพื่อให้เป็นเครื่องมือในการควบคุมการเข้าถึงที่สำคัญในเครือข่ายทางธุรกิจ DMZ คือพื้นที่ของเครือข่ายที่แยกออกจากเครือข่ายภายในและอินเทอร์เน็ต แต่เชื่อมต่อกับทั้งสองเครือข่าย
DMZ มีวัตถุประสงค์เพื่อโฮสต์ระบบที่ต้องสามารถเข้าถึงอินเทอร์เน็ตได้ แต่ด้วยวิธีที่ต่างไปจากเครือข่ายภายในของคุณ ระดับความพร้อมใช้งานของอินเทอร์เน็ตในระดับเครือข่ายจะถูกควบคุมโดยไฟร์วอลล์ ระดับความพร้อมใช้งานของอินเทอร์เน็ตในระดับแอ็พพลิเคชันจะถูกควบคุมโดยซอฟต์แวร์ n ซึ่งประกอบด้วยเว็บเซิร์ฟเวอร์ระบบปฏิบัติการแอ็พพลิเคชันที่กำหนดเองและซอฟต์แวร์ฐานข้อมูลบ่อยๆ
PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่DMZ มักอนุญาตให้เข้าถึงได้จากอินเทอร์เน็ตและจากเครือข่ายภายใน ผู้ใช้ภายในต้องเข้าถึงระบบภายใน DMZ เพื่ออัปเดตข้อมูลหรือใช้ข้อมูลที่รวบรวมหรือประมวลผลที่นั่น DMZ มีไว้เพื่อให้ประชาชนสามารถเข้าถึงข้อมูลผ่านทางอินเทอร์เน็ต แต่ในบางกรณี แต่เนื่องจากมีการสัมผัสกับอินเทอร์เน็ตและโลกของคนที่แยบยลมีความเสี่ยงที่เคยนำเสนอว่าระบบเหล่านี้สามารถถูกบุกรุก
ผลกระทบของการประนีประนอมเป็นสองเท่า: ประการแรกข้อมูลเกี่ยวกับระบบสัมผัสอาจสูญหาย (เช่นการคัดลอกทำลายหรือเสียหาย) และประการที่สองระบบอาจถูกใช้เป็นเวทีสำหรับการโจมตีระบบภายในที่ละเอียดอ่อนต่อไป
เพื่อลดความเสี่ยงแรก DMZ ควรอนุญาตให้เข้าถึงเฉพาะผ่านโปรโตคอลที่ จำกัด (เช่น HTTP สำหรับการเข้าถึงเว็บแบบปกติและ HTTPS สำหรับการเข้าถึงเว็บที่เข้ารหัส) จากนั้นระบบจะต้องได้รับการกำหนดค่าอย่างระมัดระวังเพื่อให้การป้องกันผ่านสิทธิ์กลไกการพิสูจน์ตัวตนการเขียนโปรแกรมอย่างรอบคอบและการเข้ารหัสบางครั้ง
นึกถึงข้อมูลที่เว็บไซต์หรือแอ็พพลิเคชันของคุณจะรวบรวมและจัดเก็บ นั่นคือสิ่งที่สามารถสูญหายได้หากระบบถูกบุกรุกโดยการโจมตีทางเว็บทั่วไปเช่นการฉีด SQL ล้นบัฟเฟอร์หรือสิทธิ์ที่ไม่ถูกต้อง
เพื่อลดความเสี่ยงที่สองระบบ DMZ ไม่ควรเชื่อถือจากระบบที่อยู่ลึกลงไปในเครือข่ายภายใน กล่าวได้ว่าระบบ DMZ ไม่ควรรู้อะไรเกี่ยวกับระบบภายในแม้ว่าระบบภายในบางระบบอาจรู้เกี่ยวกับระบบ DMZ นอกจากนี้การควบคุมการเข้าถึง DMZ ไม่ควรอนุญาตให้ระบบ DMZ ทำการเชื่อมต่อกับเครือข่ายได้อีก การติดต่อกับระบบ DMZ ควรเริ่มจากระบบภายใน หากระบบ DMZ ถูกบุกรุกเป็นแพลตฟอร์มโจมตีระบบเดียวที่มองเห็นได้ควรเป็นระบบ DMZ อื่น ๆ
เป็นสิ่งสำคัญที่ผู้จัดการด้านไอทีและเจ้าของธุรกิจจะเข้าใจถึงประเภทของความเสียหายที่อาจเกิดขึ้นกับระบบที่เปิดเผยบนอินเทอร์เน็ตตลอดจนกลไกและวิธีการป้องกันเช่น DMZs เจ้าของและผู้จัดการสามารถตัดสินใจได้อย่างชาญฉลาดเกี่ยวกับความเสี่ยงที่พวกเขายินดีที่จะยอมรับเมื่อพวกเขาเข้าใจอย่างถ่องแท้ว่าเครื่องมือและกระบวนการของพวกเขามีประสิทธิภาพช่วยลดความเสี่ยงเหล่านั้นได้อย่างไร
PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่
