Внутренний доступ к веб-сайту компании в dmz заблокирован, как рекомендуется

Question

Сотрудник службы безопасности моего клиента настраивает свой новый веб-сайт в DMZ для обеспечения безопасности. Это имеет полное значение для меня. Тем не менее, она продолжила говорить, что это лучшая практика, что сотрудники компании не могут получить доступ к сайту изнутри. Например, чтобы проверить, работает ли сайт, она предложила использовать их телефон.

Это новая вещь? Это вообще имеет смысл? Я никогда не слышал о том, чтобы сотрудники компании не имели доступа к веб-сайту компании через свою внутреннюю сеть. Я не специалист по безопасности, я разработчик, поэтому, если это правильно, пожалуйста, дайте мне знать, это просто показалось мне необычным.

Является ли это лучшей практикой, которую сейчас внедряют компании? Это рекомендуемый путь?

Любая информация с благодарностью. Я просто сбит с толку и немного ошеломлен.

Спасибо!

Answer 1

Машина в DMZ не должна иметь возможности «подключаться» к любой машине во внутренней сети.Машины из вашей внутренней сети всегда могут подключаться к машинам в DMZ.Обычно сотрудники имеют доступ к веб-сайтам (и другим службам), работающим в демилитаризованной зоне, поэтому нет никаких причин, по которым вы должны ограничивать сотрудников в подключении к вашей собственной машине демилитаризованной зоны.

Итак, чтобы ответить на ваш вопрос: этолучшая практика, которую сейчас внедряют компании? Нет

Это рекомендуемый путь?Это не делает вас более безопасным, чем вы.Если обоснование этого ограничения заключается в том, чтобы предотвратить возможное заражение внутренних компьютеров вредоносным ПО, распространяемым вашим собственным веб-сайтом, то как оно более безопасно, чем заражение вредоносным ПО, распространяемым случайным веб-сайтом.

Answer 2

Они должны блокировать домен Windows, службы каталогов и неиспользуемые порты из внутренней сети, но должны позволять необходимые веб-порты для управления.Цель dmz - защитить вашу внутреннюю сеть от публичного сервера, а не наоборот.Вы не должны знать сотруднику по сетевой безопасности, что риск слишком низок, чтобы оправдать дополнительные расходы, связанные с мониторингом сервера извне.Если ваш охранник имеет какой-либо опыт в сетевой безопасности, он будет знать, что это стандартная практика.Если нет, обратитесь к руководству и скажите им, что вам нужно, чтобы они заплатили за другое интернет-соединение для мониторинга ваших серверов, или попросите охранника внести 1 изменение списка доступа в его брандмауэр.