クライアントのネットワークセキュリティ担当者は、セキュリティのためにDMZに新しいWebサイトを設定しています。これは私には完全に理にかなっています。ただし、彼女は、会社の従業員が社内でサイトにアクセスできないようにすることがベストプラクティスであると述べました。たとえば、サイトが稼働しているかどうかを確認するために、彼女は電話を使用することを提案しました。
これは新しいことですか?それも意味がありますか?これまで、会社の従業員が社内ネットワークを介して会社のWebサイトにアクセスすることを許可しないという話は聞いたことがありません。私はセキュリティ担当者ではなく、開発者です。これが正しければ、私に知らせてください。それは私には珍しいことのように思えました。
これは、企業が現在実装しているベストプラクティスですか?それは行くためのアドバイスされた方法ですか?
どんな情報でも大歓迎です。私はただ混乱して少し唖然としました。
ありがとう!
これらは、Windowsドメイン、ディレクトリサービス、および未使用のポートを内部ネットワークからブロックしている必要がありますが、管理に必要なWebポートを許可している必要があります。dmzの目的は、内部ネットワークをパブリックサーバーから保護することであり、その逆ではありません。外部からのサーバーの監視に関連する追加コストを正当化するにはリスクが低すぎることをネットワークセキュリティ担当者に伝える必要はありません。セキュリティ担当者がネットワークセキュリティの経験がある場合は、これが標準的な方法であることを知っています。そうでない場合は、それを管理者に渡して、サーバーを監視するために別のインターネット接続の料金を支払う必要があることを伝えるか、セキュリティ担当者にファイアウォールで1つのアクセスリストを変更するよう依頼してください。
DMZ内のマシンは、内部ネットワーク内のどのマシンにも「接続」できないようにする必要があります。内部ネットワークのマシンは、いつでもDMZ内のマシンに接続できます。通常、従業員はDMZで実行されているWebサイト(およびその他のサービス)にアクセスできるため、従業員が自分のDMZマシンに接続することを制限する必要がある理由はありません。
それであなたの質問に答えるために:これは企業が現在実施しているベストプラクティスですか?
いいえ
それは行くためのアドバイスされた方法ですか?
これはあなたがあなたであるということをこれ以上安全にすることはありません。この制限の背後にある理論的根拠が、自分のWebサイトによって配布されるマルウェアによる内部マシンへの感染の可能性を防ぐことである場合、ランダムなWebサイトによって配布されるマルウェアに感染するよりも安全です。