DMZ (verkko)

Tietokoneverkoissa DMZ (demilitarisoitu vyöhyke), joka tunnetaan joskus myös nimellä reunaverkko tai suojattu aliverkko, on fyysinen tai looginen aliverkko, joka erottaa sisäisen lähiverkon (LAN) muista epäluotettavista verkoista — yleensä julkisesta internetistä. Ulkopuoliset palvelimet, resurssit ja palvelut sijaitsevat DMZ-alueella. Näin ollen niihin pääsee käsiksi internetistä, mutta muu sisäinen lähiverkko on saavuttamattomissa. Tämä tarjoaa lähiverkolle lisäturvaa, koska se rajoittaa hakkerin mahdollisuuksia päästä suoraan sisäisiin palvelimiin ja tietoihin internetin kautta.

Käyttäjille julkisessa internetissä tarjottava palvelu tulisi sijoittaa DMZ-verkkoon. Yleisimpiä näistä palveluista ovat verkkopalvelimet ja välityspalvelimet sekä sähköpostipalvelimet, DNS-palvelimet (domain name system), FTP-palvelimet (File Transfer Protocol) ja VoIP-palvelimet (voice over IP).

Hakkerit ja tietoverkkorikolliset ympäri maailmaa pääsevät käsiksi järjestelmiin, jotka ylläpitävät näitä palveluita DMZ-palvelimilla, jotka on kovetettava, jotta ne kestävät jatkuvia hyökkäyksiä. Termi DMZ tulee maantieteellisestä puskurivyöhykkeestä, joka perustettiin Pohjois- ja Etelä-Korean välille Korean sodan päätyttyä.

Verkon DMZ:n arkkitehtuuri

Verkon DMZ voidaan suunnitella eri tavoin. Kaksi perusmenetelmää on käyttää joko yhtä tai kahta palomuuria, vaikka useimmat nykyaikaiset DMZ:t on suunniteltu kahdella palomuurilla. Tätä peruslähestymistapaa voidaan laajentaa monimutkaisempien arkkitehtuurien luomiseksi.

Yhtä palomuuria, jossa on vähintään kolme verkkoliitäntää, voidaan käyttää DMZ:n sisältävän verkkoarkkitehtuurin luomiseen. Ulkoinen verkko muodostetaan liittämällä julkinen internet — Internet-palveluntarjoajan (ISP) yhteyden kautta — palomuurin ensimmäiseen verkkoliitäntään. Sisäinen verkko muodostetaan toisesta verkkoliitännästä ja itse DMZ-verkko liitetään kolmanteen verkkoliitäntään.

Erilaiset palomuurisääntökokonaisuudet, joilla valvotaan internetin ja DMZ:n, lähiverkon ja DMZ:n sekä lähiverkon ja internetin välistä liikennettä, kontrolloivat tiukasti sitä, mitkä portit ja minkä tyyppistä liikennettä sallitaan DMZ:hen internetistä, rajoittavat yhteyksiä tiettyihin isäntätietokoneisiin sisäisessä verkossa ja estävät DMZ:ltä käsin muodostettavat, ei-tahansa pyydetyt yhteydenotot joko internetiin tai sisäiseen lähiverkkoon.

Turvallisempi lähestymistapa DMZ-verkon luomiseen on kahden palomuurin konfiguraatio, jossa käytetään kahta palomuuria ja DMZ-verkko sijoitetaan niiden väliin. Ensimmäinen palomuuri – jota kutsutaan myös kehäpalomuuriksi – on määritetty sallimaan vain DMZ-verkkoon suuntautuva ulkoinen liikenne. Toinen eli sisäinen palomuuri sallii vain DMZ:stä sisäverkkoon suuntautuvan liikenteen. Tätä pidetään turvallisempana, koska kahden laitteen on oltava vaarassa, ennen kuin hyökkääjä pääsee sisäiseen lähiverkkoon.

Turvallisuuden valvonta voidaan virittää erityisesti kutakin verkkosegmenttiä varten. Esimerkiksi DMZ-alueella sijaitseva verkon tunkeutumisen havaitsemis- ja estojärjestelmä voidaan määrittää estämään kaikki muu liikenne paitsi HTTPS-pyynnöt TCP-porttiin 443.

Miten DMZ:t toimivat

DMZ:t on tarkoitettu toimimaan eräänlaisena puskurivyöhykkeenä julkisen internetin ja yksityisen verkon välillä. DMZ:n sijoittaminen kahden palomuurin väliin tarkoittaa, että kaikki saapuvat verkkopaketit seulotaan palomuurin tai muun tietoturvalaitteen avulla ennen kuin ne saapuvat palvelimille, joita organisaatio isännöi DMZ:ssä.

Jos paremmin valmistautunut uhkatekijä pääsee ensimmäisen palomuurin läpi, hänen on sen jälkeen saatava luvaton pääsy näihin palveluihin ennen kuin hän voi tehdä vahinkoa, ja nämä järjestelmät on todennäköisesti kovetettu tällaisia hyökkäyksiä vastaan.

Loppujen lopuksi, olettaen, että hyvin varustautunut uhkatekijä pystyy murtautumaan ulkoisen palomuurin läpi ja ottamaan haltuunsa DMZ:ssä isännöidyn järjestelmän, hänen on vielä murtauduttava sisäisen palomuurin läpi, ennen kuin hän pääsee käsiksi arkaluonteisiin yrityksen resursseihin. Vaikka määrätietoinen hyökkääjä voi murtaa jopa parhaiten suojatun DMZ-arkkitehtuurin, hyökkäyksen kohteeksi joutuneen DMZ:n pitäisi laukaista hälytys ja antaa tietoturva-ammattilaisille tarpeeksi varoitusta, jotta he voivat estää organisaation täydellisen murron.

DMZ:iden hyödyt

DMZ:n ensisijainen hyöty on se, että DMZ:n kautta julkisesta internetistä tuleville käyttäjille tarjotaan pääsy tiettyihin suojattuihin palveluihin, mutta samalla ylläpidetään kuitenkin puskuriverkkoa näiden käyttäjien ja yksityisen sisäisen verkkoyhteyden välillä. Tämän puskurin turvallisuushyödyt ilmenevät useilla eri tavoilla, kuten:

Access Control for Organizations. Organisaatiot voivat tarjota käyttäjille pääsyn palveluihin, jotka sijaitsevat niiden verkkoalueiden ulkopuolella julkisen internetin kautta. DMZ-verkko tarjoaa pääsyn näihin tarvittaviin palveluihin ja ottaa samalla käyttöön verkon segmentoinnin tason, joka lisää esteiden määrää, jotka luvattoman käyttäjän on ohitettava ennen kuin hän pääsee organisaation yksityiseen verkkoon. Joissakin tapauksissa DMZ-verkko sisältää välityspalvelimen, joka keskittää sisäisen – yleensä työntekijöiden – Internet-liikenteen ja tekee liikenteen tallentamisesta ja seurannasta yksinkertaisempaa.

Estä hyökkääjiä suorittamasta verkkotiedustelua. Koska DMZ toimii puskurina, se estää hyökkääjää tarkkailemasta mahdollisia kohteita verkossa. Vaikka DMZ:n sisällä oleva järjestelmä vaarantuisi, yksityinen verkko on silti suojattu sisäisellä palomuurilla, joka erottaa sen DMZ:stä. Samasta syystä se vaikeuttaa myös ulkoista tiedustelua. Vaikka DMZ:ssä olevat palvelimet ovat julkisesti alttiita, niitä suojaa toinenkin suojakerros. DMZ:n julkiset kasvot estävät hyökkääjiä näkemästä sisäisen yksityisen verkon sisältöä. Jos hyökkääjät onnistuvat vaarantamaan DMZ:n sisällä olevat palvelimet, DMZ:n sisäinen este eristää ne edelleen yksityisestä verkosta.

Suojaus IP-väärennöksiä vastaan. Joissakin tapauksissa hyökkääjät yrittävät kiertää pääsynvalvontarajoituksia väärentämällä valtuutetun IP-osoitteen esiintyäkseen toisena laitteena verkossa. DMZ voi viivyttää mahdollisia IP-väärentäjiä sillä aikaa, kun jokin toinen verkon palvelu tarkistaa IP-osoitteen laillisuuden testaamalla, onko se tavoitettavissa.

Kussakin tapauksessa DMZ tarjoaa verkon segmentoinnin tason, joka luo tilan, jossa liikennettä voidaan organisoida ja jossa julkisia palveluja voidaan käyttää turvallisen etäisyyden päässä yksityisestä verkosta.

Mihin DMZ-verkkoja käytetään

DMZ-verkot ovat olleet tärkeä osa yritysverkon tietoturvaa lähes yhtä kauan kuin palomuurit ovat olleet käytössä, ja niitä käytetään suurelta osin samankaltaisista syistä: organisaation arkaluonteisten järjestelmien ja resurssien suojaamiseksi. DMZ-verkkoja voidaan käyttää eristämään ja pitämään mahdolliset kohdejärjestelmät erillään sisäisistä verkoista sekä vähentämään ja valvomaan pääsyä näihin järjestelmiin organisaation ulkopuolelta. DMZ:n käyttäminen on jo pitkään ollut lähestymistapa yrityksen resurssien isännöinnissä, jotta ainakin osa niistä olisi valtuutettujen ulkopuolisten käyttäjien käytettävissä.

Viime aikoina yritykset ovat valinneet virtuaalikoneiden (VM) tai konttien käytön verkon osien tai tiettyjen sovellusten eristämiseksi muusta yritysympäristöstä. Pilviteknologiat ovat suurelta osin poistaneet monilta organisaatioilta tarpeen omistaa omia verkkopalvelimia. Monet yrityksen DMZ:ssä aiemmin sijainneet ulkoiset infrastruktuurit, kuten SaaS-sovellukset (Software-as-a-Service), ovat nyt siirtyneet pilvipalveluihin.

Esimerkkejä DMZ:stä

Joissakin pilvipalveluissa, kuten Microsoft Azuressa, toteutetaan hybridi tietoturvanäkökulma, jossa DMZ on toteutettu organisaation kiinteän verkon ja virtuaaliverkon välille. Tätä hybridilähestymistapaa käytetään tyypillisesti tilanteissa, joissa organisaation sovellukset toimivat osittain tiloissa ja osittain virtuaaliverkossa. Sitä käytetään myös tilanteissa, joissa lähtevää liikennettä on auditoitava tai joissa virtuaaliverkon ja toimitiloissa sijaitsevan datakeskuksen välillä tarvitaan tarkkaa liikenteen hallintaa.

DMZ voi olla hyödyllinen myös kotiverkossa, jossa tietokoneet ja muut laitteet on liitetty internetiin laajakaistareitittimen avulla ja konfiguroitu lähiverkoksi. Joissakin kotireitittimissä on DMZ-isäntäominaisuus, jota voidaan verrata DMZ-aliverkkoon, joka on yleisemmin käytössä organisaatioissa, joissa on paljon enemmän laitteita kuin kotona. DMZ-isäntäominaisuus määrittää yhden laitteen kotiverkossa toimimaan palomuurin ulkopuolella, jossa se toimii DMZ:nä, kun taas muu kotiverkko on palomuurin sisällä. Joissakin tapauksissa DMZ-isännäksi valitaan pelikonsoli, jotta palomuuri ei häiritse pelaamista. Lisäksi pelikonsoli on hyvä ehdokas DMZ-isännäksi, koska sillä on todennäköisesti vähemmän arkaluonteisia tietoja kuin tietokoneella.

Sen lisäksi, että DMZ:tä käytetään valikoivasti kotona ja pilvipalveluissa, DMZ:t tarjoavat potentiaalisen ratkaisun tietoturvariskeihin, joita IT:n ja OT:n (operatiivinen teknologia) lisääntyvä lähentyminen aiheuttaa. Teollisuuslaitteita, kuten turbiinimoottoreita tai teollisuuden ohjausjärjestelmiä, yhdistetään IT-teknologioihin, mikä tekee tuotantoympäristöistä älykkäämpiä ja tehokkaampia, mutta luo myös suuremman uhkapinnan. Suurta osaa internetiin kytkeytyvistä OT-laitteista ei ole suunniteltu käsittelemään hyökkäyksiä samalla tavalla kuin IT-laitteita.

Pahoinpidelty OT-laitteisto on mahdollisesti vaarallisempi kuin IT-tietomurto. OT-rikkomukset voivat johtaa kriittisen infrastruktuurin hajoamiseen, arvokkaan tuotantoaikansa menettämiseen ja jopa uhata ihmisten turvallisuutta, kun taas IT-rikkomus johtaa tietojen vaarantumiseen. IT-infrastruktuuri voi myös tyypillisesti toipua kyberhyökkäyksistä yksinkertaisella varmuuskopioinnilla, toisin kuin OT-infrastruktuuri, jolla ei useinkaan ole mitään keinoa palauttaa menetettyä tuotantoaikaa tai fyysisiä vahinkoja.

Vuonna 2016 esimerkiksi yhdysvaltalainen sähköyhtiö joutui lunnasohjelmahyökkäyksen kohteeksi, joka vaikutti sen OT-laitteisiin ja esti monia asiakkaita saamasta sähköä. Yrityksellä ei ollut vakiintunutta DMZ-aluetta IT- ja OT-laitteidensa välillä, eivätkä sen OT-laitteet olleet hyvin varustettuja käsittelemään lunnasohjelmaa sen saavuttua niihin. Tämä tietoturvaloukkaus vaikutti syvästi sähköyhtiön infrastruktuuriin ja lukuisiin asiakkaisiin, jotka luottivat sen palveluun.

DMZ olisi lisännyt verkon segmentointia (sekä itse OT-verkon sisällä että OT- ja IT-verkkojen välillä), ja se olisi mahdollisesti voinut hillitä lunnasohjelman teollisuusympäristölle aiheuttamia lisävahinkoja.