DMZ-netwerk: wat is een DMZ en hoe werkt het?

DMZ-netwerk: wat is een DMZ en hoe werkt het?

Duizenden organisaties over de hele wereld besparen tijd en geld met Okta.Ontdek wat de impact van identity management op uw organisatie kan zijn.

DMZ-netwerk: wat is een DMZ en hoe werkt het?

Waarom topanalisten in de sector Okta en Auth0 als Identity Leader aanmerken

Een netwerk met gedemilitariseerde zone of DMZ (demilitarized zone) is een subnet dat een extra beschermingslaag vormt tegen externe aanvallen.

Netwerkbeheerders moeten een evenwicht vinden tussen toegankelijkheid en security. Uw medewerkers hebben weleens data van buiten de organisatie nodig en bepaalde bezoekers moeten toegang krijgen tot data op uw servers. Er zijn echter items die altijd beschermd moeten blijven. 

Een DMZ-netwerk kan een ideale oplossing zijn. Als u zo'n netwerk gebruikt, kunt u bepaalde vormen van verkeer praktisch zonder beperkingen toestaan, maar strenge securitymaatregelen toepassen om uw meest gevoelige assets veilig te houden.

Wat is een DMZ-netwerk?

Het internet is een slagveld. Sommige mensen zijn vredelievend, anderen zaaien chaos. Deze twee groepen moeten bijeen kunnen komen op neutraal terrein om tot een akkoord te komen. Toen developers zich over dit dilemma bogen, deden ze een beroep op militaire terminologie om hun doelen toe te lichten. 

In militaire termen is een gedemilitariseerde zone (DMZ in het Engels) een plaats waar twee strijdende facties hun conflicten naast zich neer kunnen leggen om zinvol werk te verzetten. Er loopt bijvoorbeeld zo'n strook over het Koreaanse schiereiland om het noorden en zuiden op veilige afstand van elkaar te houden.

In computertermen is een DMZ-netwerk een subnetwerk dat openbare services afschermt van vertrouwelijke assets. Een correct geïmplementeerd DMZ-netwerk kan het risico van een rampzalig datalek verminderen. Openbare servers bevinden zich in de DMZ, maar communiceren met databases die worden beschermd door firewalls. 

Alleen al in 2019 vonden er in de Verenigde Staten bijna 1500 datalekken plaats. Gevoelige informatie kwam op straat te liggen en kwetsbare organisaties moesten enorme bedragen uitgeven aan pogingen om de schade te herstellen. 

Een DMZ-netwerk kan het risico van hacks niet volledig wegnemen, maar wel een extra securitylaag toevoegen voor buitengewoon gevoelige documenten waarvan u niet wilt dat ze in verkeerde handen terechtkomen.

 

DMZ-netwerk

Voorbeelden van DMZ-netwerken

Elk netwerk met een DMZ heeft een firewall nodig om openbare functies te scheiden van bestanden voor intern gebruik. Developers kunnen hierbij uit twee configuraties kiezen. 

DMZ-netwerk met één firewall

Deze configuratie bestaat uit drie belangrijke elementen.

  1. Firewall: al het externe verkeer moet eerst langs de firewall.
  2. Switches: een DMZ-switch leidt verkeer naar een openbare server. Een interne switch leidt verkeer naar een interne server. 
  3. Servers: er moet een openbare en een besloten server zijn. 

Als u uw netwerk zo configureert, is de firewall het enige element dat uw netwerk beschermt. Switches zorgen ervoor dat het verkeer naar de juiste ruimte wordt geleid. 

Eén firewall met drie beschikbare netwerkinterfaces is voldoende om een DMZ van dit type te creëren. Maar u moet wel diverse regelsets creëren om het verkeer binnen en rondom uw netwerk te monitoren en te sturen. 

DMZ-netwerk met twee firewalls 

Is één beschermingslaag genoeg voor uw organisatie? Als dat niet het geval is, is een tweeledig systeem mogelijk geschikter. Zo'n systeem bestaat uit de volgende elementen:

  • Firewalls: openbaar verkeer gaat door slechts één securitylaag. Maar om toegang te krijgen tot gevoeligere bestanden, moeten gebruikers langs een tweede firewall. 
  • DMZ: in dit gebied bevinden zich openbare resources, die toegankelijk zijn nadat de eerste firewall is gepasseerd. 
  • LAN: in dit gebied bevinden zich besloten resources, die pas toegankelijk zijn nadat de tweede firewall is gepasseerd. 

Configureer uw front-end- of perimeter-firewall zodanig dat deze het verke