DMZ (strefa zdemilitaryzowana) to segment sieci pełniący funkcję strefy buforowej pomiędzy zaufaną siecią wewnętrzną a niezaufaną siecią zewnętrzną, zazwyczaj Internetem. Został zaprojektowany do obsługi usług publicznych, takich jak serwery internetowe, serwery poczty e-mail lub serwery aplikacji, które muszą być dostępne z Internetu, zapewniając jednocześnie dodatkową warstwę zabezpieczeń chroniącą sieć wewnętrzną przed bezpośrednim narażeniem na zagrożenia zewnętrzne.
Z drugiej strony non-DMZ odnosi się do sieci wewnętrznej lub segmentów w organizacji, które nie są bezpośrednio narażone na kontakt z sieciami zewnętrznymi, takimi jak Internet. Obejmuje sieci, w których przechowywane są wrażliwe dane, aplikacje wewnętrzne i infrastrukturę, chronione zaporami sieciowymi i innymi środkami bezpieczeństwa ograniczającymi dostęp autoryzowanych użytkowników i urządzeń w organizacji.
DMZ oznacza strefę zdemilitaryzowaną.
sieci i cyberbezpieczeństwa, DMZ to wyznaczony obszar w architekturze sieci, który jest strategicznie odizolowany zarówno od sieci wewnętrznej, jak i zewnętrznego Internetu. Służy jako bezpieczna strefa, w której umieszczane są publiczne serwery i usługi, umożliwiając dostęp do nich z Internetu, minimalizując jednocześnie ryzyko naruszenia bezpieczeństwa sieci wewnętrznej.
Istnieją głównie trzy typy konfiguracji DMZ:
- Single-homed DMZ: W tej konfiguracji pojedyncza zapora sieciowa oddziela DMZ zarówno od Internetu, jak i sieci wewnętrznej. Serwery publiczne znajdują się w strefie DMZ i tylko niezbędne usługi są dostępne w Internecie, co zmniejsza powierzchnię ataku i chroni sieć wewnętrzną.
- Dual-homed DMZ: Ta konfiguracja obejmuje umieszczenie dwóch zapór sieciowych lub urządzeń zabezpieczających pomiędzy DMZ, Internetem i siecią wewnętrzną. Jedna zapora sieciowa skierowana jest w stronę Internetu, a druga w stronę sieci wewnętrznej. Taka konfiguracja zapewnia dodatkową warstwę bezpieczeństwa, izolując strefę DMZ od zagrożeń zewnętrznych i wewnętrznych, zapewniając bardziej rygorystyczną kontrolę dostępu i filtrowanie ruchu.
- Screened-subnet DMZ: Ta konfiguracja, znana również jako potrójna strefa DMZ, dodaje dodatkową warstwę bezpieczeństwa poprzez użycie routera ekranującego lub zapory ogniowej pomiędzy DMZ a Internetem i siecią wewnętrzną. Ta konfiguracja zapewnia lepszą kontrolę bezpieczeństwa i pozwala na bardziej szczegółowe filtrowanie ruchu i zasady kontroli dostępu, dzięki czemu nadaje się do środowisk wymagających rygorystycznych środków bezpieczeństwa.
Organizacje powinny rozważyć wdrożenie strefy DMZ, jeśli muszą udostępniać publicznie dostępne usługi, takie jak serwery internetowe, serwery poczty e-mail lub serwery aplikacji, które wymagają połączenia z Internetem przy jednoczesnym zachowaniu bezpiecznej separacji od sieci wewnętrznych. Korzystanie ze strefy DMZ pomaga zminimalizować ryzyko bezpośrednich ataków na krytyczne zasoby wewnętrzne, poprawia stan bezpieczeństwa sieci i ułatwia zgodność z najlepszymi praktykami bezpieczeństwa i wymogami regulacyjnymi dotyczącymi ochrony wrażliwych danych i infrastruktury przed zagrożeniami zewnętrznymi.