Een DMZ (Demilitarized Zone) is een netwerksegment dat fungeert als bufferzone tussen een vertrouwd intern netwerk en een niet-vertrouwd extern netwerk, meestal het internet. Het is ontworpen voor het hosten van openbare diensten, zoals webservers, e-mailservers of applicatieservers, die toegankelijk moeten zijn vanaf internet en tegelijkertijd een extra beveiligingslaag bieden om het interne netwerk te beschermen tegen directe blootstelling aan externe bedreigingen.
Niet-DMZ verwijst daarentegen naar het interne netwerk of de segmenten binnen een organisatie die niet rechtstreeks worden blootgesteld aan externe netwerken zoals internet. Het omvat netwerken waarin gevoelige gegevens, interne applicaties en infrastructuur zijn ondergebracht, beschermd achter firewalls en andere beveiligingsmaatregelen om de toegang tot geautoriseerde gebruikers en apparaten binnen de organisatie te beperken.
DMZ staat voor Gedemilitariseerde Zone.
netwerken en cyberbeveiliging is een DMZ een aangewezen gebied binnen een netwerkarchitectuur dat strategisch geïsoleerd is van zowel het interne netwerk als het externe internet. Het dient als een veilige zone waar openbare servers en diensten worden geplaatst, waardoor ze toegankelijk zijn vanaf internet en tegelijkertijd het risico wordt geminimaliseerd dat de veiligheid van het interne netwerk in gevaar komt.
Er zijn hoofdzakelijk drie soorten DMZ-configuraties:
- Single-homed DMZ: In deze opstelling scheidt een enkele firewall de DMZ van zowel het internet als het interne netwerk. Publiek gerichte servers bevinden zich in de DMZ en alleen noodzakelijke services zijn blootgesteld aan internet, waardoor het aanvalsoppervlak wordt verkleind en het interne netwerk wordt beschermd.
- Dual-homed DMZ: bij deze configuratie worden twee firewalls of beveiligingsapparatuur geplaatst tussen de DMZ, het internet en het interne netwerk. De ene firewall is gericht op internet, terwijl de andere op het interne netwerk is gericht. Deze opstelling biedt een extra beveiligingslaag door de DMZ te isoleren van zowel externe als interne bedreigingen, waardoor een strengere toegangscontrole en verkeersfiltering wordt gegarandeerd.
- Screened-subnet DMZ: Deze configuratie, ook bekend als een triple-homed DMZ, voegt een extra beveiligingslaag toe door een screeningrouter of firewall te gebruiken tussen de DMZ en zowel het internet als het interne netwerk. Deze opstelling biedt verbeterde beveiligingscontroles en maakt een gedetailleerder verkeersfiltering en toegangscontrolebeleid mogelijk, waardoor het geschikt is voor omgevingen die strenge beveiligingsmaatregelen vereisen.
Organisaties moeten overwegen om een DMZ te implementeren wanneer ze publiek toegankelijke diensten moeten hosten, zoals webservers, e-mailservers of applicatieservers, waarvoor internetconnectiviteit nodig is en tegelijkertijd een veilige scheiding met interne netwerken behouden moet blijven. Het gebruik van een DMZ helpt het risico van directe aanvallen op kritieke interne activa te minimaliseren, verbetert de netwerkbeveiliging en vergemakkelijkt de naleving van best practices op het gebied van beveiliging en wettelijke vereisten voor het beschermen van gevoelige gegevens en infrastructuur tegen externe bedreigingen.