Desde una perspectiva de diseño, ¿es una buena idea colocar los servidores que necesitan realizar conexiones salientes a Internet en una DMZ separada?
Estos servidores serían servidores como filtros web, servidores WSUS, etc.
No es inaudito. He configurado muchos de esa manera. Depende de cuán sensibles sean sus sistemas.
Me gusta que hayas dicho "desde una perspectiva de diseño". Parte de la seguridad es un buen diseño, ya sea que algo "teóricamente no debería ocurrir" no lo hace imposible. Hacking sucede. Las capas y la segregación son una forma de introducir puntos de choque, además de hacer que los cortafuegos sean más fáciles de auditar y, por último, de proteger contra errores humanos y configuraciones incorrectas.
DMZ no es solo para servicios entrantes . Los sistemas extremadamente sensibles también restringen el acceso a Internet saliente, por lo que si tiene un grupo separado de servidores que necesitan acceso saliente, Quiero colocarlos en una DMZ separada para segregarlos en lugar de mezclar ACL y potencialmente exponer su red privada. Como mínimo, considere las VLAN separadas.
Muchos sistemas financieros, médicos, de telecomunicaciones y gubernamentales sensibles se encuentran en redes privadas que no tienen NAT ni enrutable al exterior. Algunos tienen servidores de aplicaciones front-end en una DMZ que tienen reglas de firewall que permiten el acceso directo desde la DMZ - > Privado, pero algunos ni siquiera tienen mucho.
Para aquellos que no lo saben, una zona DMZ - desmilitarized en la informática es la red perimetral entre la LAN local e Internet, que se utiliza para alojar equipos o software que pueden manejar el tráfico externo entrante. Como resultado, solo se aplica si tiene potencialmente servicios públicos (es decir, un correo electrónico o un servidor web) alojados en la misma red que las cosas que no desea que sean de acceso público (es decir, su computadora local u intranet de la oficina)
En su caso, se refiere a servicios que solo realizan llamadas salientes o simétricas a Internet abierto (es decir, solo realizan llamadas salientes y generalmente esperan una respuesta de un servidor remoto específico). En esta situación, por supuesto, existe el riesgo de que se produzca algún tipo de explotación (es decir, en el caso de WSUS, la conexión al servidor de actualización de Windows se piratea, el DNS se falsifica, etc.) pero es un riesgo similar al de cualquiera de sus máquinas internas. la red.
Como resultado, diría que no tiene mucho sentido colocar estos servidores en una DMZ.
EDITAR: depende de qué tan sensibles sean los datos con los que está tratando. Consulte la respuesta de mrjoltcola para obtener información más detallada.
Lea otras preguntas en las etiquetas dmz