Wann kommt ein Service in die DMZ?
Hallo,
wann implementiert man einen Dienst besser in der DMZ, bzw. wann nicht?
Ein Service muß in die DMZ sobald er aus dem Internet (& LAN) erreichbar sein soll, das ist soweit klar.
Gibt es aber eine Empfehlung was man mit Services macht, die nur für ein eng begrenztes Publikum (einzeln aufzählbar) erreichbar sein soll (z.B. einzelne Mitarbeiter, einzelne Externe)?
Es gäbe ja die Mögilchkeit den Dienst trotzdem in der DMZ zu platzieren und eine Authentifizierung davor zu schalten, und damit haben die gewünschten Mitarbeiter auch aus dem Internet zugriff...
Andererseits gäbe es die Mögilchkeit diesen speziellen Leuten einen (auf diesen Dienst eingeschränkten?) VPN-Zugang für's LAN einzurichten und ... was ist nun die 'sauberere' Lösung?
Gibt es da Richtlinien/Abhandlungen darüber? Ich hätte sowas jetzt eigentlich vom BSI erwartet... habe aber bisher nichts finden können...
Danke.
Gruß
Dieter
wann implementiert man einen Dienst besser in der DMZ, bzw. wann nicht?
Ein Service muß in die DMZ sobald er aus dem Internet (& LAN) erreichbar sein soll, das ist soweit klar.
Gibt es aber eine Empfehlung was man mit Services macht, die nur für ein eng begrenztes Publikum (einzeln aufzählbar) erreichbar sein soll (z.B. einzelne Mitarbeiter, einzelne Externe)?
Es gäbe ja die Mögilchkeit den Dienst trotzdem in der DMZ zu platzieren und eine Authentifizierung davor zu schalten, und damit haben die gewünschten Mitarbeiter auch aus dem Internet zugriff...
Andererseits gäbe es die Mögilchkeit diesen speziellen Leuten einen (auf diesen Dienst eingeschränkten?) VPN-Zugang für's LAN einzurichten und ... was ist nun die 'sauberere' Lösung?
Gibt es da Richtlinien/Abhandlungen darüber? Ich hätte sowas jetzt eigentlich vom BSI erwartet... habe aber bisher nichts finden können...
Danke.
Gruß
Dieter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181715
Url: https://administrator.de/contentid/181715
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
4 Kommentare
Neuester Kommentar
Moin moin,
um es etwas platt auszudrücken:
Immer dann, wenn die Dienste gegen Zugriff von Unbefugten gesichert werden müssen und man dabei ggf. das Problem hat, daß der Host auch andere, nicht abschaltbare Dienste anbietet, die u.u. kompromittiert werden könnten.
Ob man die in die gleiche Zone steckt wie die Dienste, die vom internet erreichbar sein müssen, oder ob man denen eine eigene Zone spendiert, ist abhängig von einer Risikobewertung und einer Kosten-/Nutzen-Rechnung.
lks
um es etwas platt auszudrücken:
Immer dann, wenn die Dienste gegen Zugriff von Unbefugten gesichert werden müssen und man dabei ggf. das Problem hat, daß der Host auch andere, nicht abschaltbare Dienste anbietet, die u.u. kompromittiert werden könnten.
Ob man die in die gleiche Zone steckt wie die Dienste, die vom internet erreichbar sein müssen, oder ob man denen eine eigene Zone spendiert, ist abhängig von einer Risikobewertung und einer Kosten-/Nutzen-Rechnung.
lks
Es kann je nach Sicherheitsphilosophie schon Sinn machen, z. B. Testumgebungen für externe Dienstleister in abgeschottete Bereiche zu stecken, wo sich die Entwickler dann austoben können und
nicht durch surfen im Firmen-Intranet vom Toben ablenken lassen. Das hat auch mit Datenschutz zu tun - vielerlei interne Informationen sind schlicht nicht für Firmenfremde gedacht.
Warum sollte man firmenfremden das ganze interne Netz zugänglich machen, wenn sie doch nur für was sehr spezielles Zugriff benötigen?
Wenn der Postmann kommt muss er an den Briefkasten ran, doch ich muss ihn ja nicht auch gleich ins Schlafzimmer spatzieren lassen...
Will man nur vereinzelten internen Mitarbeitern aus der Firma selbst autorisierten Zugriff auf etwas geben, macht man das in der Regel mit einer Authentisierungslösung, z. B. Benutzername/Kennwort an der Anwendung/Webportal.
Abhandlungen kenn ich dazu keine, und wenn man 10 Admins frägt kriegt man 6 Antworten.
Aus den 6 kann man dann ggfs. das ableiten was wohl dem "empfehlenswerten" am nächsten kommt...
nicht durch surfen im Firmen-Intranet vom Toben ablenken lassen. Das hat auch mit Datenschutz zu tun - vielerlei interne Informationen sind schlicht nicht für Firmenfremde gedacht.
Warum sollte man firmenfremden das ganze interne Netz zugänglich machen, wenn sie doch nur für was sehr spezielles Zugriff benötigen?
Wenn der Postmann kommt muss er an den Briefkasten ran, doch ich muss ihn ja nicht auch gleich ins Schlafzimmer spatzieren lassen...
Will man nur vereinzelten internen Mitarbeitern aus der Firma selbst autorisierten Zugriff auf etwas geben, macht man das in der Regel mit einer Authentisierungslösung, z. B. Benutzername/Kennwort an der Anwendung/Webportal.
Abhandlungen kenn ich dazu keine, und wenn man 10 Admins frägt kriegt man 6 Antworten.
Aus den 6 kann man dann ggfs. das ableiten was wohl dem "empfehlenswerten" am nächsten kommt...