Data Transfer Object (DTO): Definition und Anwendung in Ihrem Business

Eine demilitarisierte Zone, kurz: DMZ, ist ein Subnetz, das Ihnen zusätzlichen Schutz vor Angriffen bietet.

Netzwerk-Administratoren müssen die richtige Balance zwischen einfachem Zugriff und robuster Sicherheit finden. Ihre Mitarbeiter sind auf Daten außerhalb des Unternehmens angewiesen, und externe Besucher müssen die Daten auf Ihren Servern erreichen können. Aber einige Assets müssen durchgehend geschützt bleiben. 

Eine DMZ im Netzwerk ist vielleicht die perfekte Lösung. Sie erlaubt es Ihnen, einige Arten von Traffic nahezu ungehindert weiterzuleiten. Sie bietet Ihnen aber auch einen starken Schutz für Ihre sensibelsten Assets.

Was ist eine DMZ?

Das Internet ist ein Schlachtfeld. Einige Anwender wollen nur ihren Frieden. Andere wollen Chaos säen. Diese beiden Gruppen müssen sich irgendwo treffen – und einen Mittelweg finden. Als die ersten Entwickler dieses Problem angingen, machen Sie sich die Sprache des Militärs zunutze. 

Das Militär bezeichnet den Raum, in dem sich Konfliktparteien unbewaffnet treffen, um wichtige Arbeiten zu erledigen, als demilitarisierte Zone (DMZ). Ein Beispiel dafür ist der dünne Streifen, der Nord- und Südkorea trennt.

In der Informationstechnologie handelt es sich bei einem DMZ-Netzwerk um ein Subnetz, das öffentliche Dienste und private Systeme trennt. Korrekt implementiert, kann ein DMZ-Netzwerk das Risiko eines verheerenden Angriffs nachhaltig reduzieren. Die öffentlich zugänglichen Server befinden sich in der DMZ, und kommunizieren mit durch Firewalls geschützten Datenbanken.

Allein 2019 kam es in den Vereinigen Staaten zu rund 1.500 Data Breaches. Dabei wurden Unmengen sensibler Daten kompromittiert, und viele unzureichend geschützte Unternehmen mussten hohe Summen aufwenden, um die Schäden zu beheben.

Auch eine DMZ kann das Risiko, gehackt zu werden, nicht auf Null reduzieren. Sie bietet aber wertvollen zusätzlichen Schutz für ihre wichtigsten Dokumente.

Einige Beispiele von DMZ-Netzwerken

Jedes mit einer DMZ konfigurierte Netzwerk benötigt eine Firewall, die öffentlich zugängliche Dienste von ausschließlich privaten Daten trennt. Dabei können die Entwickler grundsätzlich zwischen zwei Konfigurationen wählen. 

DMZ-Netzwerk mit einer Firewall 

Diese Konfiguration umfasst drei zentrale Komponenten.

1. Firewall: Jeglicher externer Traffic muss zunächst die Firewall passieren.
2. Switches: Ein DMZ-Switch leitet den Traffic an einen öffentlich zugänglichen Server weiter. Ein interner Switch leitet den Traffic an einen internen Server weiter. 
3. Server: Ein öffentlich zugängliches und ein privates System sind notwendig.

Wenn Sie Ihr Netzwerk auf diese Weise konfigurieren, wird dieses ausschließlich durch die Firewall geschützt. Die Switches sorgen dafür, dass der Traffic an die richtige Stelle weitergeleitet wird. 

Eine einzige Firewall mit drei freien Netzwerkschnittstellen ist alles, was Sie brauchen, um diese Art von DMZ einzurichten. Sie werden allerdings etliche Regelwerke definieren müssen, um den Traffic internen und externen Traffic zu überwachen und zu regeln. 

DMZ-Netzwerk mit zwei Firewalls 

Reicht ein einziges System aus, um Ihr Unternehmen zu schützen? Wenn nicht, ist ein duales System vielleicht die bessere Wahl. Dieses umfasst folgende Komponenten:

• Firewalls: Der öffentliche Traffic muss lediglich eine Security-Schicht passieren, um in die DMZ zu gelangen. Aber um auf wirklich sensible Daten zugreifen zu können, müssen die Anwender an einer zweiten Firewall vorbei. 
• DMZ: Hier befinden sich die öffentlich zugänglichen Ressourcen, die bereits hinter der ersten Firewall zur Verfügung stehen. 
• LAN: Hier befinden sich die privaten Ressourcen. Der Zugriff darauf ist erst möglich, nachdem der Traffic beide Firewalls passiert hat. 

Konfigurieren Sie Ihre Front-End- oder Perimeter-Firewall so, dass Sie den Datenverkehr für die DMZ filtert. Richten Sie Ihre interne Firewall so ein, dass Benutzer darüber von der DMZ auf private Unternehmensdaten zugreifen können. 

Andere Konfigurationsoptionen 

Unternehmen, die noch mehr auf Sicherheit bedacht sind, können eine klassifizierte militarisierte Zone (CMZ) verwenden, um Informationen über das lokale Netz zu speichern. Wenn Sie diese Option wählen, werden sich die meisten Ihrer Webserver innerhalb der CMZ befinden.

Wer sollte eine DMZ verwenden?

Eine Firewall bietet keinen hundertprozentigen Schutz. Hacker diskutieren oft darüber, wie lange sie brauchen, um die Sicherheitssysteme eines Unternehmens zu überwinden, und oft sind ihre Antworten beunruhigend. Eine DMZ bietet einen wertvollen zusätzlichen Schutz für Ihre wichtigsten Ressourcen. 

Die folgenden Dienste platzieren Unternehmen häufig in der DMZ:

• E-Mail-Server: Die Nutzer benötigen einen Internetzugang, um E-Mail-Nachrichten zu senden und zu empfangen. Aber diese Dokumente können äußerst sensibel sein, und wenn sie in die Hände von Hackern fallen, können diese die Daten im Dark Web verkaufen oder Lösegeld verlangen.

  Ein E-Mail-Anbieter musste dies im Jahr 2020 auf die harte Tour lernen, als ihm die Daten von 600.000 Nutzern gestohlen und verkauft wurden. Implementieren Sie Ihre Server innerhalb der DMZ, um die Funktionalität zu gewährleisten, aber stellen Sie die zugehörige Datenbank hinter Ihre Firewall.
   

• FTP-Server: Content auf Ihre Webseite zu bewegen und dort zu hosten ist mit einem FTP-Server wesentlich einfacher. Aber diese Funktionalität ist mit erheblichen Security-Risiken verbunden. Gestatten Sie den Zugriff und die Nutzung innerhalb der DMZ, aber behalten Sie Ihre Server hinter Ihrer Firewall.
   
• Webserver: Natürlich müssen Sie auch dafür Sorge tragen, dass Traffic in das und aus dem Unternehmen gelangt. Betreiben Sie die Server innerhalb der DMZ, aber schirmen Sie die Datenbanken für einen besseren Schutz hinter Ihrer Firewall ab. Angriffe auf Ihre Website sind mitunter sehr schwer zu identifizieren.

  So fand ein Unternehmen beispielsweise erst nach fast zwei Jahren heraus, dass es Opfer eines Angriffs war, nachdem auf einem Server kein Speicherplatz mehr vorhanden war. Ein DMZ-Netzwerk macht dies weniger wahrscheinlich.

Grundsätzlich wird jedes Unternehmen, das sensible Informationen auf einem Firmenserver gespeichert hat und einen öffentlichen Zugang zum Internet bereitstellt, von einer DMZ profitieren. Einige Unternehmen sind sogar gesetzlich dazu verpflichtet.

So müssen viele Unternehmen im Gesundheitswesen die Einhaltung des Health Insurance Portability and Accountability Acts nachweisen. Sie müssen geeignete Systeme zum Schutz sensibler Daten implementieren und jeden Verstoß melden. Der Aufbau einer DMZ hilft ihnen, ihre Risiken zu minimieren und einen sorgfältigen Umgang mit den Daten der Anwender zu belegen.

Vorteile und Schwachstellen von DMZ-Servern 

Netzwerkadministratoren können heute aus einer schwindelerregenden Anzahl von Konfigurationsoptionen wählen, und sie alle zu evaluieren ist alles andere als einfach. Je besser Sie die Risiken und Vorteile kennen, desto fundierter können Sie entscheiden, ob Sie mehr über diesen Ansatz erfahren wollen – oder ob Sie darauf verzichten.

Die wichtigsten Vorzüge einer DMZ:

• Einsparpotenziale. Im Schnitt dauert es 280 Tage, bis ein Angriff erkannt und behoben wird. In dieser Zeit können enorme Schäden auflaufen. Richten Sie Ihren DMZ-Server mit einer Vielzahl von Warnmeldungen ein, und Sie werden über jeden möglichen Angriff informiert.

  Und die Hacker werden eine Vielzahl von Hürden überwinden müssen, um Sie anzugreifen. So können Sie das Eindringen eines Hackers im besten Fall verhindern, aber zumindest erschweren.
   

• Durchgängige Verfügbarkeit. Der Traffic muss jederzeit in Ihr und aus Ihrem Unternehmen fließen können. Ein allzu streng reguliertes System lässt dies nicht zu. Mit einer DMZ können Ihre Mitarbeiter produktiv arbeiten, ohne dass Sie Abstriche bei der Sicherheit in Kauf nehmen müssten.
   
• Vergleichsweise einfache Lösung. Für eine Konfiguration mit einer Firewall sind nur wenige Tool und kaum technisches Know-how erforderlich. Sie werden also sehr schnell startklar sein. 

Die größten Nachteile einer DMZ:

• Kein Schutz der internen Kommunikation. Mitarbeiter und autorisierte Benutzer können nach wie vor ungehindert auf alle sensiblen Daten zugreifen, die in Ihrem Unternehmen gespeichert sind.
   
• Trügerische Sicherheit. Jeden Tag kommen Hacker auf neue Ideen, um Ihre Sicherheitssysteme zu umgehen. Selbst im DMZ-Netzwerk sind Ihre Server nicht immer sicher. Sie werden die Umgebung also weiterhin sorgsam überwachen müssen – auch wenn die Einrichtung abgeschlossen ist.
   
• Obsolete Technologie. Einige Fachleute sind der Meinung, dass die Cloud eine DMZ überflüssig macht. Denn wenn Sie keine Netzwerkserver mehr haben, haben Sie möglicherweise auch nichts Schützenswertes. 

Ob das auf Ihr Unternehmen zutrifft, können nur Sie entscheiden. Ihnen sollte aber bewusst sein, dass sich viele Unternehmen für eine solche Lösung entscheiden, um sensible Daten zu schützen.

Zusammenarbeit mit Okta 

Wenn Sie sich schwertun, das richtige Gleichgewicht zwischen einfachem Zugang und robuster Sicherheit zu finden, ist die Einrichtung einer DMZ vielleicht die perfekte Lösung. Wenn Sie öffentlich zugängliche Server in einem durch Firewalls geschützten Bereich unterbringen, helfen Sie Ihren Mitarbeitern, jederzeit produktiv zu arbeiten – und können Ihre sensiblen Files und Prozesse wesentlich besser schützen.

Sollten Sie zusätzlichen Schutz für Ihre On-Prem-Ressourcen benötigen, ist das Okta Access Gateway die richtige Lösung.

Referenzen

Cyber Crime: Number of Breaches and Records Exposed 2005-2020. (Oktober 2020). Statista. 

As a Hacker, How Long Would It Take to Hack a Firewall? Quora.

Company Discovered It Was Hacked After a Server Ran Out of Free Space. (November 2019). ZD Net.

Email Provider Got Hacked, Data of 600,000 Users Now Sold on the Dark Web. (April 2020). ZD Net.

FTP Remains a Security Breach in the Making. (Juli 2014). TechRepublic.

Cost of a Data Breach Report 2020. IBM Security.