Eine DMZ (Demilitarisierte Zone) ist ein Netzwerksegment, das als Pufferzone zwischen einem vertrauenswürdigen internen Netzwerk und einem nicht vertrauenswürdigen externen Netzwerk, typischerweise dem Internet, fungiert. Es dient zum Hosten öffentlich zugänglicher Dienste wie Webserver, E-Mail-Server oder Anwendungsserver, die über das Internet zugänglich sein müssen, und bietet gleichzeitig eine zusätzliche Sicherheitsebene, um das interne Netzwerk vor direkter Gefährdung durch externe Bedrohungen zu schützen.
Nicht-DMZ hingegen bezieht sich auf das interne Netzwerk oder die Segmente innerhalb einer Organisation, die nicht direkt externen Netzwerken wie dem Internet ausgesetzt sind. Dazu gehören Netzwerke, in denen sensible Daten, interne Anwendungen und Infrastruktur untergebracht und durch Firewalls und andere Sicherheitsmaßnahmen geschützt sind, um den Zugriff auf autorisierte Benutzer und Geräte innerhalb des Unternehmens zu beschränken.
DMZ steht für Demilitarisierte Zone.
Für Netzwerke und Cybersicherheit ist eine DMZ ein ausgewiesener Bereich innerhalb einer Netzwerkarchitektur, der strategisch sowohl vom internen Netzwerk als auch vom externen Internet isoliert ist. Es dient als sichere Zone, in der öffentlich zugängliche Server und Dienste platziert werden, sodass sie über das Internet zugänglich sind und gleichzeitig das Risiko einer Gefährdung der Sicherheit des internen Netzwerks minimiert wird.
Es gibt hauptsächlich drei Arten von DMZ-Konfigurationen:
- Single-homed DMZ: In diesem Setup trennt eine einzelne Firewall die DMZ sowohl vom Internet als auch vom internen Netzwerk. Öffentlich zugängliche Server befinden sich in der DMZ und nur notwendige Dienste werden dem Internet zugänglich gemacht, wodurch die Angriffsfläche verringert und das interne Netzwerk geschützt wird.
- Dual-Homed-DMZ: Bei dieser Konfiguration werden zwei Firewalls oder Sicherheitsgeräte zwischen der DMZ, dem Internet und dem internen Netzwerk platziert. Eine Firewall ist zum Internet gerichtet, die andere zum internen Netzwerk. Dieses Setup bietet eine zusätzliche Sicherheitsebene, indem es die DMZ sowohl von externen als auch internen Bedrohungen isoliert und so eine strengere Zugriffskontrolle und Datenverkehrsfilterung gewährleistet.
- Screened-subnet DMZ: Diese Konfiguration wird auch als Triple-Homed-DMZ bezeichnet und fügt eine zusätzliche Sicherheitsebene hinzu, indem ein Screening-Router oder eine Firewall zwischen der DMZ und sowohl dem Internet als auch dem internen Netzwerk verwendet wird. Dieses Setup bietet verbesserte Sicherheitskontrollen und ermöglicht eine detailliertere Datenverkehrsfilterung und Zugriffskontrollrichtlinien, wodurch es für Umgebungen geeignet ist, die strenge Sicherheitsmaßnahmen erfordern.
Organisationen sollten die Implementierung einer DMZ in Betracht ziehen, wenn sie öffentlich zugängliche Dienste wie Webserver, E-Mail-Server oder Anwendungsserver hosten müssen, die eine Internetverbindung erfordern und gleichzeitig eine sichere Trennung von internen Netzwerken aufrechterhalten müssen. Der Einsatz einer DMZ trägt dazu bei, das Risiko direkter Angriffe auf kritische interne Ressourcen zu minimieren, die Netzwerksicherheit zu verbessern und die Einhaltung bewährter Sicherheitspraktiken und behördlicher Anforderungen zum Schutz sensibler Daten und Infrastruktur vor externen Bedrohungen zu erleichtern.