DMZ (Askerden Arındırılmış Bölge), güvenilir bir iç ağ ile güvenilmeyen bir dış ağ, genellikle internet arasında tampon bölge görevi gören bir ağ bölümüdür. Dahili ağı dış tehditlere doğrudan maruz kalmaktan korumak için ek bir güvenlik katmanı sağlarken, internetten erişilmesi gereken web sunucuları, e-posta sunucuları veya uygulama sunucuları gibi halka açık hizmetleri barındırmak üzere tasarlanmıştır.
DMZ olmayan ise bir kuruluş içindeki internet gibi harici ağlara doğrudan maruz kalmayan iç ağı veya bölümleri ifade eder. Hassas verilerin, dahili uygulamaların ve altyapının barındırıldığı, güvenlik duvarları ve kuruluş içindeki yetkili kullanıcılara ve cihazlara erişimi sınırlamak için diğer güvenlik önlemleriyle korunan ağları içerir.
DMZ, Askerden Arındırılmış Bölge anlamına gelir.
Ağ oluşturma ve siber güvenlik açısından DMZ, bir ağ mimarisi içinde, hem iç ağdan hem de dış internetten stratejik olarak izole edilmiş, belirlenmiş bir alandır. Halka açık sunucuların ve hizmetlerin yerleştirildiği güvenli bir bölge olarak hizmet vererek, iç ağın güvenliğinden ödün verme riskini en aza indirirken bunlara internetten erişilebilmesini sağlar.
Temel olarak üç tip DMZ konfigürasyonu vardır:
- Tek bağlantılı DMZ: Bu kurulumda, tek bir güvenlik duvarı DMZ’yi hem internetten hem de dahili ağdan ayırır. Herkese açık sunucular DMZ’de bulunur ve yalnızca gerekli hizmetler internete açık hale gelir, bu da saldırı yüzeyini azaltır ve dahili ağı korur.
- Çift bağlantılı DMZ: Bu yapılandırma, DMZ, internet ve dahili ağ arasına iki güvenlik duvarı veya güvenlik cihazı yerleştirmeyi içerir. Güvenlik duvarlarından biri internete, diğeri ise dahili ağa bakıyor. Bu kurulum, DMZ’yi hem harici hem de dahili tehditlerden izole ederek ek bir güvenlik katmanı sağlar ve daha sıkı erişim kontrolü ve trafik filtreleme sağlar.
- Screened-subnet DMZ: Üç bağlantılı DMZ olarak da bilinen bu yapılandırma, DMZ ile hem internet hem de dahili ağ arasında bir tarama yönlendiricisi veya güvenlik duvarı kullanarak ek bir güvenlik katmanı ekler. Bu kurulum, gelişmiş güvenlik kontrolleri sağlar ve daha ayrıntılı trafik filtreleme ve erişim kontrolü politikalarına izin vererek, onu sıkı güvenlik önlemleri gerektiren ortamlar için uygun hale getirir.
Kuruluşlar, iç ağlardan güvenli bir ayrım sağlarken internet bağlantısı gerektiren web sunucuları, e-posta sunucuları veya uygulama sunucuları gibi genel olarak erişilebilen hizmetleri barındırmaları gerektiğinde bir DMZ uygulamayı düşünmelidir. DMZ kullanmak, kritik dahili varlıklara yönelik doğrudan saldırı riskini en aza indirmeye yardımcı olur, ağ güvenliği duruşunu geliştirir ve hassas verileri ve altyapıyı dış tehditlerden korumaya yönelik en iyi güvenlik uygulamalarına ve düzenleyici gereksinimlere uyumu kolaylaştırır.