1. 序章

私たちの日常生活の中で、私たちは私たちの財産にさまざまなレベルの保護を提供しています。 たとえば、金庫のある事務室を考えてみましょう。 関連性の低い書類をオフィスの机に残し、部屋を出るときにのみドアをロックすることができます。

前述のドキュメントは、物理的なバリア(ドア)によって保護されます。 しかし、通常、多くの人がさまざまな理由であなたのオフィスのドアの鍵を持っています。したがって、これらの人はあなたの机に残された文書にアクセスできます。

このように、極秘文書には追加のセキュリティ層が必要です。 この新しいレイヤーは、特定のドキュメントへのアクセスを特定のグループの人々に制限することを目的としています。 したがって、金庫を使用してこれらの文書を保管し、金庫の組み合わせを許可された人にのみ開示することができます。

提示されたシナリオは、現在のネットワークで非武装地帯(DMZ)がどのように機能するか直感的なアナロジーです。 つまり、DMZは、組織のパブリックネットワークとプライベートネットワークを分割する境界ネットワークです。

このチュートリアルでは、DMZネットワークの特性とアーキテクチャについて学習します。 最初に、DMZとは何か、そしてそれがどのように機能するかを探ります。 そこで、DMZの実装アーキテクチャを調査します。 最後に、DMZを実装する利点について説明します。

2. 一言で言えば非武装地帯

非武装地帯は、境界ネットワークまたはスクリーニングされたサブネットワークと呼ばれることもあり、組織のプライベートネットワークからパブリックネットワークを分割するためのレイヤーを作成します。

DMZの主な目的は、組織がインターネットなどの信頼できないネットワークに安全にアクセスできるようにすることです。 このようにして、DMZは内部ネットワークとプライベートネットワークを信頼できないネットワークから分離し、最初のネットワークへの不正アクセスを回避します。

DMZを実装するための最も関連性の高いリソースの1つとして、ファイアウォールを引用できます。

一般に、ファイアウォールを使用して、パブリックインターネットをDMZから分離し、DMZをプライベートネットワークから分離します。 これらのファイアウォールによって適用されるルールは、通常、分離されたシステムのセグメントによって異なります。

ファイアウォールはDMZのコア機能ですが、他の機能を使用してシステムのセキュリティと分離を向上させることもできます。 これらの機能の例としては、侵入検知および防止システム(IPSおよびIDS)があります。 ウイルス対策、およびロードバランサーなど。

約2つのプロパティに関するDMZを分析できます。

  • セキュリティドメイン:ネットワーク化されたセキュリティドメインとは、ネットワーク化されたシステムを互いに分離されたセグメントに分割することを指します。 さまざまなシステムセグメントへのアクセスが制御され、追跡可能です。
  • 多層防御:セキュリティで保護されたネットワークドメインを防御するには、複数のセキュリティソリューションが必要です。 したがって、特定のセキュリティソリューションが失敗した場合、他のソリューションは攻撃を回避できます。

DMZを考慮すると、インターネットを信頼できないドメインとして分類し、非武装地帯を半信頼できるものとして分類し、プライベートネットワークを信頼できるものとして分類できます。 したがって、システムセグメントに要求する信頼性が高いほど、使用する必要のあるセキュリティソリューションの数が多くなります。

次の画像は、以前に提示された概念を例示しています。

3. 非武装地帯のアーキテクチャ

非武装地帯の基本は、パブリックインターネットとプライベートネットワークを仲介することです。 さらに、ファイアウォールはシステムに出入りするネットワークトラフィックを制御します。

DMZの基本的な定義を考慮すると、現実の世界でDMZを実装するための2つの主要なアーキテクチャがあります。二重ファイアウォールアーキテクチャと単一ファイアウォールアーキテクチャです。

二重ファイアウォールアーキテクチャは最も伝統的なものです。 このような場合、パブリックインターネットとDMZの間にファイアウォールインスタンスが展開されます。 さらに、DMZとプライベートネットワークの間にファイアウォールインスタンスが展開されています。 これらのファイアウォールは独立して機能します。

次の画像は、単純な二重ファイアウォールのDMZを示しています。

二重ファイアウォールアーキテクチャは最も古典的で教訓的なDMZを表していますが、単一ファイアウォールアーキテクチャが実装されることがよくあります。 これは、ファイアウォールインスタンスを2つではなく1つ展開して維持するコストが削減されるために発生します。

次の画像は、単一ファイアウォールのDMZを例示しています。

運用上、シングルファイアウォールアーキテクチャはダブルファイアウォールアーキテクチャと同等です。 もちろん、これらのアーキテクチャのファイアウォールインスタンスの構成には違いがありますが、それが主な違いではありません。

実際の主な違いは、単一ファイアウォールアーキテクチャでは、ファイアウォールが単一障害点であるということです。このように、攻撃者は悪意のあるアクションをファイアウォールに集中させて、DMZとプライベートネットワーク。

さらに、単一のファイアウォールが多くのルールに対処するため、異なるネットワークセグメントで2つのファイアウォールが機能している場合よりも早くボトルネックになる可能性があります。

シングルファイアウォールまたはダブルファイアウォールアーキテクチャを採用する場合は、コストとリスクのトレードオフを検討する必要があります。 さらに、ファイアウォールを最新の状態に維持し、適切なルールのセットで構成する能力を熟考することも重要です。適切に構成された単一のファイアウォールは、構成が不適切な2つのファイアウォールよりも優れている場合があります。

4. 非武装地帯のメリット

間違いなく、DMZを実装する主な利点は、パブリックネットワークとプライベートネットワークの間に追加のセキュリティレイヤーを設定することです。 ただし、この主な利点に加えて、DMZの実装を非常に有望なアイデアにする他の利点を分析できます。

  • ネットワークアクセス制御:DMZでは、組織のパブリックネットワークとプライベートネットワークへのアクセスを制限および追跡することができます。 セキュリティ機能であることに加えて、組織のシステムへのアクセスを追跡することは、説明責任の観点から戦略的である可能性があります
  • ネットワークスキャンの回避:攻撃者は、組織のネットワークをスキャンして潜在的な脆弱性とエクスプロイトを見つけることに関心がある可能性があります。 適切に計画されたDMZは、公開されると予測されるシステムを開示し、内部使用のみを目的として設計されたシステムのスキャンを回避します。
  • パフォーマンスの向上:通常、公共サービスには多くのユーザーがアクセスしますが、これらのアクセスのトラフィックは、私的使用のみを目的として設計されたシステムに干渉する可能性があります。 DMZはプライベートネットワークの負荷を軽減し、そこで実行されているシステムのパフォーマンスを向上させることができます

5. 結論

このチュートリアルでは、非武装地帯の技術的な詳細と実装アーキテクチャについて学習しました。 F 最初に、DMZの目的とその最も関連性の高い運用特性を確認しました。 したがって、DMZを実装するためのいくつかの一般的なアーキテクチャを調査しました。 最後に、組織のネットワークのコンテキストでDMZを設定することの具体的なメリットについて説明しました。

適切に設計された非武装地帯は、組織のネットワークを複数のレイヤーにセグメント化することで、組織のネットワークのセキュリティと配置を改善できると結論付けることができます。

さまざまなポリシーにより、組織のネットワークにパブリックレイヤーとプライベートレイヤーを作成することで、特定のサービスとデータを保護できます。 これらのポリシーには、たとえば、ネットワークトラフィックをいくつかのセキュリティネットワーク機能に送信したり、リソースにアクセスするためにユーザーの資格情報を要求したりすることが含まれる場合があります。