What is a DMZ Network?

DMZネットワークは、敵対する勢力や国家が支配する2つの地域の間に位置する非武装地帯にちなんで名付けられ、保護された内部ネットワークと信頼できないネットワーク(多くの場合、インターネット)の間に位置する組織のネットワークインフラストラクチャ上のサブネットワークです。 組織の DMZ ネットワークには、一般向けのサービスが含まれており、内部ネットワークの保護に役立つように設計されています。

デモをリクエストする NGFWバイヤーズガイド

What is a DMZ Network?

DMZの目的

DMZ は、組織に属しているが、信頼性が低い、または侵害にさらされやすいサービスの場所を提供するように設計されています。 DMZ に一般的に展開されるシステムの例としては、次のようなものがあります。

  • ウェブサーバー
  • DNSサーバ
  • メールサーバ
  • FTPサーバ

これらのシステムはすべて、パブリックにアクセスできる必要があります。 ただし、これらはすべて、侵害(Webアプリケーションの脆弱性の悪用など)に対して脆弱であったり、分散型サービス妨害攻撃(DDoS)攻撃の増幅に DNS を使用するなどの攻撃に使用される可能性もあります。

DMZ を使用すると、組織は、内部システムの他の部分を危険にさらすことなく、インターネットに接続する機能を公開できます。 DMZにあるシステムは、内部システムや機密データ(データベースに保存され、Webアプリケーションで使用される顧客データなど)にアクセスできる可能性がありますが、これらのDMZベースのシステムと内部システム間の接続は、悪意のあるコンテンツについて追加の検査を受けます。

DMZ ネットワーク アーキテクチャ

DMZ は、組織のネットワーク内の分離されたサブネットワークです。 DMZ は、DMZ と信頼できない外部ネットワーク(インターネットなど)と DMZ と信頼できる内部ネットワークの間の 2 つの厳密なセグメント境界によって定義されます。

DMZと他のネットワーク間のこれらの境界は、厳格に適用され、保護されています。 組織は、DMZ の両方の境界に ファイアウォール を展開します。 これらの 次世代ファイアウォール (NGFW)は、ネットワーク境界を越えるすべてのトラフィックを検査し、インターネットからDMZ、またはDMZから保護された内部ネットワークへの境界を越える前に、悪意のあるコンテンツを検出してブロックする機能を備えています。

これらの ネットワーク ファイアウォール は、DMZ と内部システム間のアクセス制御を実施する機能を備えているため、DMZ のセキュリティに不可欠です。 これらのアクセス制御は、侵害されたシステムが内部システムを危険にさらす可能性や、攻撃者がDMZ上の侵害されたシステムからネットワーク全体に水平移動できる可能性を最小限に抑えるために不可欠です。

DMZの境界を定義するために必要なのはファイアウォールだけですが、組織はこれらの境界に追加の防御を展開することもできます。 DMZ内に実装されているサービスに応じて、組織はWebアプリケーションファイアウォール(WAF)、電子メールスキャンソリューション、またはその他のセキュリティ制御を導入して、展開されたサービスにターゲットを絞った保護を提供することができます。

DMZ ネットワークの利点

DMZ を実装すると、組織はネットワーク内に複数の異なるレベルと信頼ゾーンを定義できます。 これにより、組織には次のような多くのメリットがあります。

  • インターネットに接続するシステムの保護: 電子メールサーバー、Webアプリケーション、およびその他のインターネットに接続するシステムは、機密データにアクセスする必要があるため、攻撃から保護する必要があります。 これらのシステムをDMZに配置すると、外部ファイアウォールで保護されながら、パブリックインターネットにアクセスできるようになります。
  • 内部システムの保護: DMZ 上の一部のシステム (FTP サーバーなど) は、組織のネットワーク内のシステムに脅威をもたらします。 これらのシステムを DMZ に配置すると、これらのシステムと組織の内部ネットワークの間に別のセキュリティ検査層が存在するようになります。
  • 限られた横方向の動き: サイバー攻撃者は通常、システムを悪用してネットワークに足場を築き、その足場からアクセスを拡大します。 最も脆弱で悪用可能なシステムはDMZ上に存在するため、内部の保護されたネットワークにアクセスして悪用するための足がかりとして使用することはより困難です。
  • ネットワークスキャンの防止: 攻撃者は通常、組織のネットワークをスキャンして、悪用に対して脆弱なコンピューターとソフトウェアを特定します。 DMZ を実装すると、インターネットに接続することを意図したシステムのみが、パブリック インターネットから実際に表示およびスキャンできるようにネットワークが構築されます。
  • アクセス制御の改善: 内部ネットワークとインターネットに接続するシステムの間にファイアウォールを配置すると、これらのシステム間のすべての接続を検査できます。これにより、組織はアクセス制御を厳密に定義して適用し、内部システムを保護することができます。
  • ネットワークパフォーマンスの向上: インターネットに接続するシステムは、外部ユーザーが頻繁にアクセスするように設計されています。 これらのシステムをDMZに配置すると、内部ネットワークインフラストラクチャとファイアウォールの負荷が軽減され、パフォーマンスが向上します。

セキュア DMZ の実装

DMZ は、組織の内部ネットワークとパブリック インターネットの間に追加のレベルの保護を提供します。 潜在的に脆弱なシステムをDMZで隔離することで、組織は内部システムに対するリスクを軽減します。

ただし、DMZは、その境界を防御するファイアウォールが潜在的な脅威を検出し、強力なアクセス制御を実装できる場合にのみ役立ちます。 NGFWで何を探すべきかについては、こちらのバイヤーズガイドをご覧ください。また、 このデモでは 、チェック・ポイントのNGFWがネットワーク・セキュリティをどのように向上させるかをご覧ください。

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK