DMZ Überflüssig???

NoPainNoGain

New member
Hallo zusammen !
kann mir jemand etwas zu DMZ Firewall sagen. Ist das heutzutage überflüssig oder wird es noch gebraucht? Ich habe was zu IPS, NextGen ADC’s und WAF gelesen und da stand am Ende das eine DMZ in dem Fall total überflüssig ist.
Kann mir jemand erklären warum das in der Kombi überflüssig wäre?
Habe ich bei NextGen ADC’s , IPS und WAF mehrere Vorteile?
 

kaputtnik

Stammuser
Die Features sollen die Dienste selbst absichern/schützen, so dass im besten Fall, Angriffe direkt an der Firewall erkannt und verworfen werden.

Allerdings sollte man sich auf solche Features nicht allein verlassen. So erkennt ein IPS auch nur Angriffsmuster, die bereits bekannt sind. Wenn deine Schutzmechanismen auf der Firewall nicht greifen, befindet er sich in deinem Netz und kann sich so ungehindert ausbreiten.
Deshalb sollte ein Sicherheitskonzept immer von unten nach oben aufgebaut werden, und dazu gehört eben auch eine sinnvolle Segmentierung der Netze.
 

bitmuncher

Moderator
Auch wenn ich kaputtnik bezüglich Netzwerk-Segmentierung zustimme, muss ich dennoch bezüglich IDS widersprechen. Moderne ML-gestützte IDS erkennen in erster Linie Muster, die von den Standards des Netzwerks, Hosts oder Workload abweichen und bekommen daher Angriffe recht schnell mit. Nichtsdestotrotz verlangen diverse Regelungen, vor allem in der Wirtschaft, dass eine Datentrennung vorgenommen wird und ein entsprechendes Schutzniveau gerade für PII gewährleistet werden muss. Daher ist es sinnvoll und zum Teil auch notwendig, dass z.B. die Datenbank in einem anderen Netzwerk steht als die Webserver, also quasi in einer DMZ.

Allerdings verlassen wir auch gerade das Zeitalter des klassischen Hosting, wo Server für spezifische Aufgaben ausgerüstet und eingesetzt wurden. In Cloud-Umgebungen stellen sie zumeist nur einen Virtualisierungslayer oder eine entsprechende Prozess-Isolation und die dedizierte Zuteilung von Ressourcen sicher. Da gibt‘s dann häufig nur noch Processing-Knoten und Storage-Knoten und eine DMZ im klassischen Sinne ist gar nicht mehr möglich. Stattdessen packt man dann z.B. die Datenbanken in einen anderen Namespace, was aber eben keine eigene DMZ ist, sondern nur eine erweiterte Isolation der Prozesse sowie verschiedene virtuelle Netzwerke. Der Admin hat aber in einer typischen Cloud-Umgebung kaum noch Einfluss darauf, auf welchem physischen Host seine Workloads letztendlich laufen, da dies dynamisch von einem Management-Layer entscheiden wird. So kann der Admin ein Host runterfahren, ohne dass es zu einem Ausfall der darauf laufenden Dienste kommt, weil diese einfach auf ein anderes Host verschoben werden. Klar könnte er sie pinnen, aber das wäre dann bezüglich Ausfallsicherheit und Skalierbarkeit wenig hilfreich. Und gerade da spielen ja Cloud-Umgebungen ihre Stärken aus. Es wäre also unsinnig dann auf Cloud-Umgebungen zu setzen.

Daher wird es die klassische DMZ mittelfristig nur noch in wenigen (durchaus notwendigen) Ausnahmefällen geben und die Isolation kritischer Systeme wird eher über die Ressourcen-Zuteilung und Namespaces sichergestellt. Und um das als Risiko-Faktor abzufangen, nutzt man z.B. Firewalls und IDS, die dynamisch auf das Verhalten der Workloads reagieren können und die vor allem lernen, wie das Normalverhalten der Workloads aussehen muss. Dadurch können dann Abweichungen erkannt werden.
 
Oben