Yukarıda önerilen Güvenlik topolojisi, iki DMZ'yi (Demilitarized Zone), yani DMZ1 ve DMZ2'yi ve ayrıca bir Dahili Bölgeyi içerir. Kırmızı çizgi okları, Güvenlik Duvarından izin verilen trafik akışını gösterir.
NGFW (Next Generation Firewall)
Yeni Nesil Firewall cihazları, neredeyse tüm TCP / IP ağları için ağ güvenliğinin temel taşı olmuştur. SOHO ve SMB ağlarından büyük Kurumsal ortamlara kadar, Yeni Nesil Firewall cihazları IT sistemlerine ve dijital bilgi varlıklarına yapılan saldırılara karşı temel savunma sağlar. Modern ağların sınırları, Yeni Nesil Firewall cihazları çevresi dışına doğru genişliyor olsa da, çoğu ağ hala iç ağ bölgesini, dış güvenilir olmayan ağ bölgesini ve diğer isteğe bağlı ara güvenlik bölgelerini içeren iyi tanımlanmış kurallara sahip olması gerekliliğini ortaya koymaktadır.
Önerilen Güvenlik Duvarı Firewall Segmentasyon
Bir güvenlik bölgesi, bilgi koruması için benzer gereksinimleri olan bir sistem grubunu barındıran bir ağ kümesi olarak tanımlanabilir. Başka bir deyişle, bir güvenlik bölgesi genellikle birkaç ana bilgisayarın (sunucuların, iş istasyonlarının vb.) Bağlı olduğu bir Layer 3 ağ alt ağıdır. Bu belirli ağa gelen ve bu ağdan gelen trafik, IP ve Bağlantı Noktası düzeyinde ve hatta Uygulama düzeyinde bir Yeni Nesil Firewall tarafından kontrol edilir.
Kurumsal Ağlarda Güvenlik ve Bölgesel Segmentasyon
Herhangi bir kurumsal ağa uyacak tek bir Kurumsal Güvenlik topolojisi yoktur. Her ağın kendine özgü gereksinimleri ve işlevleri vardır; bu nedenle, ağın iş gereksinimlerini karşılamak için buna göre adapte olması gerekir.
Bununla birlikte, ağ saldırılarına karşı gelişmiş güvenlik ve veri koruması sunan bir ağ güvenlik topolojisini uygulamak için ideal yaklaşımı tespit etmek önemlilik arz etmektedir. Bu yaklaşım aşağıdaki şemada gösterilmektedir. Yine, aşağıdaki ağ topolojisi sadece birçok kurumsal ortamda uygulanmış gördüğümüz bir örnektir ancak farklı varyasyonlara sahip olabilir (örneğin bir yerine iki güvenlik duvarı cihazı, iki yerine sadece bir DMZ bölgesi kullanmak gibi).
Kurumsal Ağlarda Güvenlik ve Bölgesel Segmentasyon
DMZ Bölgeleri
Fiziksel ya da mantıksal olarak sadece dış dünya ile irtibatta olan sunucuların iç ağlarınızdan ayrılıp farklı bir ağda konumlandırılmasıdır. Ayrılma noktası güvenlik duvarları (Firewall ‘lar) olduğu gibi router ’lar olabilir. Bilinmesi gereken en önemli nokta DMZ ‘lerin aslında güvenli değil, güvensiz alanlar olduğudur. Başka bir değişle DMZ ‘e kritik sunucular asla konumlandırılmamalı, mümkün olduğu kadar public sunucular DMZ ağlarında barındırılmalıdır. Web, DNS gibi.
DMZ1
İnternet'ten DMZ1 bölgesi üzerinden dolaylı olarak erişilen Uygulama Sunucularını, Web proxy, Veritabanı Sunucularını vb. Barındırmak için gerekli bir aracı bölgedir.Bu nedenle, Web sunucu, Veritabanı Sunucusunu DMZ2'ye yerleştirmenizi öneririz.
DMZ2
Yukarıdaki düzenleme, İç Bölge'yi daha da fazla korur çünkü Veritabanından veya Uygulama sunucularından (DMZ1 sunucuları aracılığıyla) hiçbir şekilde erişimde taviz verilmemesi sonucunda korunan Dahili ağa erişim gerçekleşmeyecektir.Güvenlik duvarı, yalnızca gerekli bağlantı noktalarında DMZ2'den DMZ1'den erişime izin vermelidir (şemadaki Trafik Hattı 2'ye bakın). Ayrıca, DMZ2 bazı özel durumlar için (belki bir iç yönetim sunucusuna erişim, yedekleme için bir iç Active Directory'ye kimlik doğrulama vb. İçin), İç Bölge'ye (Trafik Hattı 3) sınırlı erişim sağlayabilir.
Internal Security Zone
Bu bölge genellikle dahili kullanıcı iş istasyonlarını ve dosya sunucuları, Active Directory sunucuları, Dahili veritabanları, özel uygulamalar (ERP, muhasebe yazılımı) vb. gibi diğer önemli sunucuları barındırır. Güvenlik duvarı İnternetten bu Dahili ağa doğrudan erişime izni verilmemelidir. Ayrıca, bu ağdaki kullanıcılardan giden Web trafiği, İnternet’e erişmek için DMZ1’de bulunan bir HTTP Proxy sunucusu (bkz. Trafik Hattı 4) kullanabilir.
Comments
Post a Comment