glady2000
Goto Top

DMZ in Rechenzentren -Definition heutzutage

Hallo,

ich beschäftige mich mit der Frage, was ist denn eine DMZ? Was eine klassische DMZ ist weiß ich. Auch die advanced Versionen mit zwei oder mehr Firewalls, interne+externe DMZ.
Aber ich bin mir nicht sicher, wie man eine DMZ heutzutage korrekt beschreiben sollte, wenn man die verschiedensten Anbindungen berücksichtigt, wie z.B. Hybrid Cloud, außerdem dass alles durch virtualisiert ist oder wenn man mit Netzwerksegmentierungen arbeitet.

Hier habe ich mal einige Punkte gesammelt:
Hat eine DMZ auf jeden Fall Internet facing? Oder kann es eine DMZ geben, ohne direkte/indirekte Berührung mit dem Internet?
Alle Services die aus den segmentierten Bereichen erreichbar sein müssen?
Vermittlungsnetz, das zwei Netze ungleicher Vertrauenswürdigkeit kontrolliert miteinander verbindet?
Netzwerk, das die externen Dienste eines Unternehmens für ein nicht vertrauenswürdiges Netzwerk enthält?
Enthält die DMZ nur Dienste mit direktem Internetkontakt und Gateways, um interne Netze für das Internet unsichtbar zu machen?

Wie würdet ihr aktuell eine DMZ definieren?

Grüße, glady

Content-ID: 548651

Url: https://administrator.de/forum/dmz-in-rechenzentren-definition-heutzutage-548651.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 17.02.2020 um 21:16:28 Uhr
Goto Top
Moin,

ganz lapidar ist eine DMZ ein abgeschotteter Bereich.
Das was du als "advanced" bezeichnest, ist eigentlich das Konstrukt welches in Schulen gelehrt wird und aus sogar drei Firewalls besteht.
Wann access, runter client Ebene und zur Seite für die DMZ. (Ich habe gerade kein Bild dafür)

Aber Konstrukte gibt es viele. Ob physisch oder virtuelle getrennt usw. Z.b. gibt auch welche wo Server mit Internet Zugang auch einen eigenen Anschluss haben.
Ich wette hier können viele Systeme genannt werden.

Gruß
Spirit
142583
142583 17.02.2020 um 22:00:55 Uhr
Goto Top
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.

Wie die Erreichbarkeit sich darstellt ist eine Frage des individuellen Setups.

Eine DMZ muss nicht zwingend dahingehend verstanden werden, dass sie auch aus dem öffentlichen Internet erreichbar ist.
maretz
maretz 18.02.2020 um 06:44:35 Uhr
Goto Top
Moin,

erstmal - eine "Cloud" gibt es nicht, das ist Marketing. Wenn du etwas in "der Cloud" speicherst - dann bleibt es trotzdem auf IRGENDEINEM (oder mehreren) Rechner(n).

Jetzt kommt es also nur drauf an was du genau meinst. Es gibt ja Cloud-Services die du intern hostest (OwnCloud z.B.). Da ist es einfach kein grosser Unterschied, jetzt hast du halt n Systeme in der DMZ. Selbst bei Virtueller Hardware hast du dann halt diese Geräte in den entsprechenden VLANs.

Bei externen Services ist es prinzipiell anders. Da hast du ja generell eher keine Kontrolle - entsprechend kannst du die (aus meiner Sicht) pauschal zur DMZ zählen wenn du in diesen Grenzen arbeitest. Denn im normalfall erfüllen die alle Kriterien:
- Von extern erreichbar
- Potentiell unbekannte Services
- Potentiell unerwünschtes Verhalten
- Ggf. keine grosse Konfig möglich
-> Somt nix was man in seinem internen Netz normal haben will. Hier kommt es dann lediglich auf den Service selbst an ob ich den zur DMZ oder komplett extern zählen würde (z.B. wenn man den nur via VPN erreichen kann),...
glady2000
glady2000 18.02.2020 um 08:49:15 Uhr
Goto Top
Zitat von @142583:

DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.

Diese Formulierung ist genial und sehr hilfreich!
brammer
brammer 18.02.2020 um 10:18:20 Uhr
Goto Top
Hallo,

Zitat von @glady2000:

Zitat von @142583:

DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.

Diese Formulierung ist genial und sehr hilfreich!

Den Satz würde ich etwas ändern.

DMZ sind Netzwerke Verbindungen in Netzwerke haben die nicht unter der Kontrolle des Admins sind der die DMZ betreut.

Das muss nicht immer das internet sein.
Eine DMZ baut man zwischen Produktiv und Entwicklernetzen auf.
Wo immer man einen Datenaustausch/ Bereitstellung von Daten benötigt und Netze beteiligt sind die nicht unter der eigenen Kontrolle liegen.

Cloud hat damit nichts zu tun.

brammer
142583
142583 18.02.2020 um 10:23:10 Uhr
Goto Top
Deine Ergänzung passt aber auch auf das LAN.

Ein surfender Clients zum Beispiel.
brammer
brammer 18.02.2020 um 10:32:34 Uhr
Goto Top
Hallo
Zitat von @142583:

Deine Ergänzung passt aber auch auf das LAN.

Ein surfender Clients zum Beispiel.

das eine ist ein Client das andere ist ein Netzwerk....

Mir ging es um die Kontrolle des Netzwerkes... oder vielmehr "nicht Kontrolle".

brammer
142583
142583 18.02.2020 um 10:37:04 Uhr
Goto Top
Ja, der Client, oder nenne ihn wie du willst, ist logischerweise in einem Netzwerk.