DMZ(컴퓨팅)

DMZ (computing)
군사작전이 금지된 물리적 지역은 비무장지대를 참조한다.

컴퓨터 보안에서 DMZ 또는 비무장지대(경계망 또는 선별된 서브넷이라고도 함)는 신뢰할 수 없고 대개 인터넷과 같은 더 큰 네트워크에 조직의 외부 대면 서비스를 포함하고 노출하는 물리적 또는 논리적 하위 네트워크다. DMZ의 목적은 조직의 LAN(Local Area Network)에 보안 계층을 추가하는 것이다. 외부 네트워크 노드는 DMZ에 노출된 부분만 액세스할 수 있고 나머지 네트워크는 방화벽을 사용할 수 있다.[1] DMZ는 인터넷과 사설망 사이에 위치한 작고 고립된 네트워크로 기능한다.[2]

그 이름은 비무장지대라는 용어로, 군사작전이 허용되지 않는 주 사이의 지역이다.

이론적 근거

DMZ는 어느 쪽에도 속하지 않는 것으로 보인다. 이 은유는 DMZ가 공공 인터넷의 관문 역할을 하기 때문에 컴퓨터 사용에 적용된다. 그것은 내부 네트워크만큼 안전하지도 않고, 공공 인터넷만큼 불안정하지도 않다.

이 경우 공격에 가장 취약한 호스트전자우편, 도메인 네임 시스템(DNS) 서버 등 근거리 통신망 외부의 사용자에게 서비스를 제공하는 호스트다. 공격을 받는 이들 호스트들의 증가된 잠재력 때문에, 이들 호스트들 중 하나가 손상될 경우 네트워크의 나머지 부분을 보호하기 위해 이 특정 하위 네트워크에 배치된다.

DMZ 내 호스트들은 DMZ의 콘텐츠가 내부 네트워크만큼 안전하지 않기 때문에 내부 네트워크의 특정 호스트에 대한 연결만 제한적으로 허용된다. 마찬가지로 DMZ 내 호스트와 외부 네트워크와의 통신도 제한되어 있어 DMZ가 인터넷보다 더 안전하고 이러한 특수 목적 서비스를 수용하기에 적합하다. 이를 통해 DMZ 내 호스트들은 내부 및 외부 네트워크와 모두 통신할 수 있고, 방해 방화벽은 DMZ 서버와 내부 네트워크 클라이언트 사이의 트래픽을 제어하며, 다른 방화벽은 외부 네트워크로부터 DMZ를 보호하기 위해 일정 수준의 제어를 수행할 수 있다.

DMZ 구성은 외부 공격으로부터 추가적인 보안을 제공하지만, 일반적으로 패킷 분석기를 통한 통신 냄새를 맡거나 이메일 스푸핑과 같은 스푸핑과 같은 내부 공격과는 관계가 없다.

그것은 또한 때때로 좋은 연습이 별도의 보정 Militarized 구역을 구성하는 데(CMZ)[3]가 높은 모니터링이 집결되어 존 DMZ에 LAN내에 데이터베이스가( 같은 서버 액세스에 대한 민감 정보를 포함하지 않는다 대부분 웹 서버(그리고 유사한 서버 외부 세계에 인터페이스는 인터넷 같은 직원 출입 구역)제국이다.rvers). 이러한 아키텍처에서 DMZ는 대개 애플리케이션 방화벽FTP를 가지고 있고 CMZ는 웹 서버를 호스트한다. (데이터베이스 서버는 CMZ, LAN 또는 별도의 VLAN에 있을 수 있다.)

외부망 이용자에게 제공되고 있는 서비스는 DMZ에 배치할 수 있다. 이러한 서비스 중 가장 일반적인 것은 다음과 같다.

내부 데이터베이스와 통신하는 웹 서버는 데이터베이스 서버에 대한 액세스를 필요로 하며, 공개적으로 접근할 수 없고 중요한 정보를 포함할 수 있다. 웹 서버는 보안상의 이유로 직접 또는 애플리케이션 방화벽을 통해 데이터베이스 서버와 통신할 수 있다.

전자우편 메시지와 특히 사용자 데이터베이스는 기밀이기 때문에 일반적으로 인터넷에서 접근할 수 없는 서버(적어도 불안정한 방식은 아님)에 저장되지만 인터넷에 노출된 전자우편 서버에서 액세스할 수 있다.

DMZ 내부의 메일 서버는 수신 메일을 보안/내부 메일 서버로 전달한다. 발신 우편물도 취급한다.

비즈니스 환경에서 보안, HIPAA 등의 법적 표준 준수, 모니터링 이유 등을 위해 일부 기업은 DMZ 에 프록시 서버를 설치한다. 다음과 같은 이점이 있다.

  • 내부 사용자(일반적으로 직원)가 프록시 서버를 인터넷 액세스에 사용하도록 의무화.
  • 프록시 서버가 일부 웹 콘텐츠를 캐시할 수 있기 때문에 인터넷 액세스 대역폭 요구 사항 감소
  • 사용자 활동의 기록 및 모니터링 단순화
  • 중앙 집중식 웹 콘텐츠 필터링.

역방향 프록시 서버는 프록시 서버와 마찬가지로 중개자지만 반대로 사용된다. 외부 네트워크에 접속하고자 하는 내부 이용자에게 서비스를 제공하는 대신, 내부 자원에 대한 외부 네트워크(대개 인터넷)의 간접 접속을 제공한다. 예를 들어, 전자 메일 시스템과 같은 백오피스 애플리케이션 액세스는 외부 사용자에게 제공될 수 있지만(회사 밖에서 전자 메일을 읽기 위해) 원격 사용자는 전자 메일 서버에 직접 액세스할 수 없다(역방향 프록시 서버만 내부 전자 메일 서버에 물리적으로 액세스할 수 있음). 이는 외부로부터 내부 자원에 접근해야 할 때 특히 권장되는 추가적인 보안 계층이지만, 이러한 설계는 여전히 원격(그리고 잠재적으로 악의적인) 사용자가 프록시의 도움을 받아 내부 자원과 대화할 수 있도록 허용한다는 점에 주목할 필요가 있다. 프록시는 신뢰할 수 없는 네트워크와 내부 자원 사이의 릴레이 역할을 하기 때문에 내부 네트워크로 악의적인 트래픽(예: 애플리케이션 수준 악용)을 전달할 수 있으므로, 프록시의 공격 탐지 및 필터링 기능은 외부 공격자가 존재하는 취약성을 이용하지 못하도록 하는데 매우 중요하다. 프록시를 통해 노출된 내부 리소스 일반적으로 이러한 역방향 프록시 메커니즘은 (패킷 필터 방화벽처럼) 특정 TCP UDP 포트에 대한 액세스를 제어하는 것이 아니라 트래픽의 특정 형태와 내용에 초점을 맞춘 애플리케이션 계층 방화벽을 사용하여 제공되지만 역방향 프록시는 일반적으로 DMZ 설계에 대해 잘 생각한 대안이 아니다. 업데이트된 공격 벡터에 대한 지속적인 시그너처 업데이트에 의존해야 한다.

건축

DMZ로 네트워크를 설계하는 방법에는 여러 가지가 있다. 가장 기본적인 방법 중 두 가지는 3개의 다리 모델로도 알려진 단일 방화벽과 백 투 백으로도 알려진 이중 방화벽이다. 이러한 아키텍처들은 네트워크 요건에 따라 매우 복잡한 아키텍처를 생성하도록 확장될 수 있다.

단일 방화벽

단일 방화벽을 사용하여 DMZ를 사용하는 일반적인 3-레그 네트워크 모델의 다이어그램.

최소 3개의 네트워크 인터페이스가 있는 단일 방화벽을 사용하여 DMZ를 포함하는 네트워크 아키텍처를 만들 수 있다. 외부 네트워크는 ISP에서 첫 번째 네트워크 인터페이스의 방화벽까지 형성되고, 내부 네트워크는 두 번째 네트워크 인터페이스에서 형성되며, DMZ는 세 번째 네트워크 인터페이스에서 형성된다. 방화벽은 네트워크의 단일 장애 지점이 되고 내부 네트워크뿐만 아니라 DMZ로 가는 모든 트래픽을 처리할 수 있어야 한다. 영역은 대개 색으로 표시된다. 예를 들어, LAN의 경우 보라색, DMZ의 경우 녹색, 인터넷의 경우 빨간색(무선 영역에는 종종 다른 색상이 사용됨).

이중 방화벽

이중 방화벽을 사용하여 DMZ를 사용하는 일반적인 네트워크의 다이어그램.

콜튼 프랄릭에 따르면 가장 안전한 접근법은 두 개의 방화벽을 사용하여 DMZ를 만드는 것이라고 한다.[4] 첫 번째 방화벽("프론트 엔드" 또는 "주기"[5] 방화벽이라고도 함)은 DMZ로 향하는 트래픽만 허용하도록 구성해야 한다. 두 번째 방화벽("백엔드" 또는 "내부" 방화벽이라고도 함)은 내부 네트워크에서 DMZ로의 트래픽만 허용한다.

이 설정은 두 장치가 손상되어야 하기 때문에 더 안전한 것으로[4] 간주된다. 두 개의 방화벽이 서로 다른 두 벤더에 의해 제공될 경우 두 장치가 동일한 보안 취약성을 겪을 가능성이 낮아지기 때문에 더 많은 보호가 필요하다. 예를 들어 한 벤더의 시스템에 존재하는 것으로 확인된 보안 구멍은 다른 벤더의 시스템에 발생할 가능성이 적다. 이 아키텍처의 단점 중 하나는 구입과 관리 비용이 더 많이 든다는 것이다.[6] 상이한 벤더로부터 서로 다른 방화벽을 사용하는 관행을 「심층 방어[7] 보안 전략의 구성요소로 설명하기도 한다.

DMZ 호스트

일부 홈 라우터DMZ 호스트를 가리키며, 많은 경우 실제로 잘못 사용되는 호스트다. 홈 라우터 DMZ 호스트는 내부 네트워크의 단일 주소(예: IP 주소)로서 다른 LAN 호스트로 전달되지 않는 모든 트래픽이 전송된다. 라우터만으로는 호스트를 내부 네트워크와 분리하지 않기 때문에 정의상 이것은 진정한 DMZ(비무장지대)가 아니다. 즉, DMZ 호스트는 내부 네트워크의 다른 호스트에 연결할 수 있는 반면, 실제 DMZ 내의 호스트는 방화벽이 연결을 허용하지 않는 한 이를 분리하는 방화벽에 의해 내부 네트워크와의 연결이 금지된다.

내부 네트워크의 호스트가 DMZ 내의 호스트에 대한 연결을 먼저 요청하는 경우 방화벽이 이를 허용할 수 있다. DMZ 호스트는 서브넷이 제공하는 보안 이점을 제공하지 않으며, 다른 방화벽/NAT 장치로 모든 포트를 전달하는 쉬운 방법으로 자주 사용된다. 이 전술(DMZ 호스트 설정)은 일반 방화벽 규칙 또는 NAT과 제대로 상호 작용하지 않는 시스템에서도 사용된다. 이는 어떤 포워딩 규칙도 미리 공식화할 수 없기 때문일 수 있다(예: 고정된 숫자 또는 고정된 범위와 반대로 TCP 또는 UDP 포트 번호 지정). 이것은 라우터가 처리할 프로그래밍이 없는 네트워크 프로토콜에도 사용된다(6in4 또는 GRE 터널은 프로토타입적인 예임).

참고 항목

참조

  1. ^ "Control System Security DMZ". Official website of The Cybersecurity and Infrastructure Security Agency (CISA) for the Dept. of Homeland Security, USA. Retrieved 2020-06-09.
  2. ^ "What is a DMZ and How does it Work?". Techtarget SearchSecurity. Retrieved 2020-06-09.
  3. ^ Bradley Mitchell (27 August 2018). "Demilitarized Zone in Computer Networking". Retrieved 10 December 2018.
  4. ^ a b Jacobs, Stuart (2015). Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance. John Wiley & Sons. p. 296. ISBN 9781119101604.
  5. ^ "Perimeter Firewall Design". Microsoft Security TechCenter. Microsoft Corporation. Retrieved 14 October 2013.
  6. ^ 젤처, 레니(2002년 4월) "다중 계층 애플리케이션을 위한 Firewall Deployment"
  7. ^ Young, Scott (2001). "Designing a DMZ". SANS Institute. p. 2. Retrieved 11 December 2015.

추가 읽기