8
DMZ in Rechenzentren -Definition heutzutage
Hallo,
ich beschäftige mich mit der Frage, was ist denn eine DMZ? Was eine klassische DMZ ist weiß ich. Auch die advanced Versionen mit zwei oder mehr Firewalls, interne+externe DMZ.
Aber ich bin mir nicht sicher, wie man eine DMZ heutzutage korrekt beschreiben sollte, wenn man die verschiedensten Anbindungen berücksichtigt, wie z.B. Hybrid Cloud, außerdem dass alles durch virtualisiert ist oder wenn man mit Netzwerksegmentierungen arbeitet.
Hier habe ich mal einige Punkte gesammelt:
Hat eine DMZ auf jeden Fall Internet facing? Oder kann es eine DMZ geben, ohne direkte/indirekte Berührung mit dem Internet?
Alle Services die aus den segmentierten Bereichen erreichbar sein müssen?
Vermittlungsnetz, das zwei Netze ungleicher Vertrauenswürdigkeit kontrolliert miteinander verbindet?
Netzwerk, das die externen Dienste eines Unternehmens für ein nicht vertrauenswürdiges Netzwerk enthält?
Enthält die DMZ nur Dienste mit direktem Internetkontakt und Gateways, um interne Netze für das Internet unsichtbar zu machen?
Wie würdet ihr aktuell eine DMZ definieren?
Grüße, glady
ich beschäftige mich mit der Frage, was ist denn eine DMZ? Was eine klassische DMZ ist weiß ich. Auch die advanced Versionen mit zwei oder mehr Firewalls, interne+externe DMZ.
Aber ich bin mir nicht sicher, wie man eine DMZ heutzutage korrekt beschreiben sollte, wenn man die verschiedensten Anbindungen berücksichtigt, wie z.B. Hybrid Cloud, außerdem dass alles durch virtualisiert ist oder wenn man mit Netzwerksegmentierungen arbeitet.
Hier habe ich mal einige Punkte gesammelt:
Hat eine DMZ auf jeden Fall Internet facing? Oder kann es eine DMZ geben, ohne direkte/indirekte Berührung mit dem Internet?
Alle Services die aus den segmentierten Bereichen erreichbar sein müssen?
Vermittlungsnetz, das zwei Netze ungleicher Vertrauenswürdigkeit kontrolliert miteinander verbindet?
Netzwerk, das die externen Dienste eines Unternehmens für ein nicht vertrauenswürdiges Netzwerk enthält?
Enthält die DMZ nur Dienste mit direktem Internetkontakt und Gateways, um interne Netze für das Internet unsichtbar zu machen?
Wie würdet ihr aktuell eine DMZ definieren?
Grüße, glady
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 548651
Url: https://administrator.de/contentid/548651
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
ganz lapidar ist eine DMZ ein abgeschotteter Bereich.
Das was du als "advanced" bezeichnest, ist eigentlich das Konstrukt welches in Schulen gelehrt wird und aus sogar drei Firewalls besteht.
Wann access, runter client Ebene und zur Seite für die DMZ. (Ich habe gerade kein Bild dafür)
Aber Konstrukte gibt es viele. Ob physisch oder virtuelle getrennt usw. Z.b. gibt auch welche wo Server mit Internet Zugang auch einen eigenen Anschluss haben.
Ich wette hier können viele Systeme genannt werden.
Gruß
Spirit
ganz lapidar ist eine DMZ ein abgeschotteter Bereich.
Das was du als "advanced" bezeichnest, ist eigentlich das Konstrukt welches in Schulen gelehrt wird und aus sogar drei Firewalls besteht.
Wann access, runter client Ebene und zur Seite für die DMZ. (Ich habe gerade kein Bild dafür)
Aber Konstrukte gibt es viele. Ob physisch oder virtuelle getrennt usw. Z.b. gibt auch welche wo Server mit Internet Zugang auch einen eigenen Anschluss haben.
Ich wette hier können viele Systeme genannt werden.
Gruß
Spirit
1
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.
Wie die Erreichbarkeit sich darstellt ist eine Frage des individuellen Setups.
Eine DMZ muss nicht zwingend dahingehend verstanden werden, dass sie auch aus dem öffentlichen Internet erreichbar ist.
Wie die Erreichbarkeit sich darstellt ist eine Frage des individuellen Setups.
Eine DMZ muss nicht zwingend dahingehend verstanden werden, dass sie auch aus dem öffentlichen Internet erreichbar ist.
1
Moin,
erstmal - eine "Cloud" gibt es nicht, das ist Marketing. Wenn du etwas in "der Cloud" speicherst - dann bleibt es trotzdem auf IRGENDEINEM (oder mehreren) Rechner(n).
Jetzt kommt es also nur drauf an was du genau meinst. Es gibt ja Cloud-Services die du intern hostest (OwnCloud z.B.). Da ist es einfach kein grosser Unterschied, jetzt hast du halt n Systeme in der DMZ. Selbst bei Virtueller Hardware hast du dann halt diese Geräte in den entsprechenden VLANs.
Bei externen Services ist es prinzipiell anders. Da hast du ja generell eher keine Kontrolle - entsprechend kannst du die (aus meiner Sicht) pauschal zur DMZ zählen wenn du in diesen Grenzen arbeitest. Denn im normalfall erfüllen die alle Kriterien:
- Von extern erreichbar
- Potentiell unbekannte Services
- Potentiell unerwünschtes Verhalten
- Ggf. keine grosse Konfig möglich
-> Somt nix was man in seinem internen Netz normal haben will. Hier kommt es dann lediglich auf den Service selbst an ob ich den zur DMZ oder komplett extern zählen würde (z.B. wenn man den nur via VPN erreichen kann),...
erstmal - eine "Cloud" gibt es nicht, das ist Marketing. Wenn du etwas in "der Cloud" speicherst - dann bleibt es trotzdem auf IRGENDEINEM (oder mehreren) Rechner(n).
Jetzt kommt es also nur drauf an was du genau meinst. Es gibt ja Cloud-Services die du intern hostest (OwnCloud z.B.). Da ist es einfach kein grosser Unterschied, jetzt hast du halt n Systeme in der DMZ. Selbst bei Virtueller Hardware hast du dann halt diese Geräte in den entsprechenden VLANs.
Bei externen Services ist es prinzipiell anders. Da hast du ja generell eher keine Kontrolle - entsprechend kannst du die (aus meiner Sicht) pauschal zur DMZ zählen wenn du in diesen Grenzen arbeitest. Denn im normalfall erfüllen die alle Kriterien:
- Von extern erreichbar
- Potentiell unbekannte Services
- Potentiell unerwünschtes Verhalten
- Ggf. keine grosse Konfig möglich
-> Somt nix was man in seinem internen Netz normal haben will. Hier kommt es dann lediglich auf den Service selbst an ob ich den zur DMZ oder komplett extern zählen würde (z.B. wenn man den nur via VPN erreichen kann),...
1
Zitat von @142583:
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.
Diese Formulierung ist genial und sehr hilfreich!
Hallo,
Den Satz würde ich etwas ändern.
DMZ sind Netzwerke Verbindungen in Netzwerke haben die nicht unter der Kontrolle des Admins sind der die DMZ betreut.
Das muss nicht immer das internet sein.
Eine DMZ baut man zwischen Produktiv und Entwicklernetzen auf.
Wo immer man einen Datenaustausch/ Bereitstellung von Daten benötigt und Netze beteiligt sind die nicht unter der eigenen Kontrolle liegen.
Cloud hat damit nichts zu tun.
brammer
Zitat von @glady2000:
Diese Formulierung ist genial und sehr hilfreich!
Zitat von @142583:
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.
DMZ sind Netzwerke die eingehend von nicht zu kontrollierenden Netzwerken erreichbar sind. Grundsätzlich.
Diese Formulierung ist genial und sehr hilfreich!
Den Satz würde ich etwas ändern.
DMZ sind Netzwerke Verbindungen in Netzwerke haben die nicht unter der Kontrolle des Admins sind der die DMZ betreut.
Das muss nicht immer das internet sein.
Eine DMZ baut man zwischen Produktiv und Entwicklernetzen auf.
Wo immer man einen Datenaustausch/ Bereitstellung von Daten benötigt und Netze beteiligt sind die nicht unter der eigenen Kontrolle liegen.
Cloud hat damit nichts zu tun.
brammer
Deine Ergänzung passt aber auch auf das LAN.
Ein surfender Clients zum Beispiel.
Ein surfender Clients zum Beispiel.
Hallo
das eine ist ein Client das andere ist ein Netzwerk....
Mir ging es um die Kontrolle des Netzwerkes... oder vielmehr "nicht Kontrolle".
brammer
Zitat von @142583:
Deine Ergänzung passt aber auch auf das LAN.
Ein surfender Clients zum Beispiel.
Deine Ergänzung passt aber auch auf das LAN.
Ein surfender Clients zum Beispiel.
das eine ist ein Client das andere ist ein Netzwerk....
Mir ging es um die Kontrolle des Netzwerkes... oder vielmehr "nicht Kontrolle".
brammer
Ja, der Client, oder nenne ihn wie du willst, ist logischerweise in einem Netzwerk.
