En la expansión a mi pregunta anterior ¿Qué califica como acceso público? Estoy tratando de envolver mi cabeza en torno a la intención de los puntos 1.3.1 y 1.3.2 y 1.3.3 del estándar PCI.
Tengo cuatro DMZ en mi trabajo actual (usando una configuración de arma lateral), y esto es más pequeño que mis implementaciones anteriores. Estos siempre se incorporan en un enfoque de seguridad de arriba hacia abajo: una caja de seguridad más alta siempre llega a la DMZ y extrae los bits de información necesarios que necesita o empuja los bits que deben ser de acceso público.
Tengo totalmente la idea de detener y analizar el tráfico antes de que se dirija a un sistema interno potencialmente peligroso. El lenguaje en uso implica hacer agujeros en la dirección opuesta. También implica el uso de un motor de análisis dentro de la DMZ.
Tal vez lo que no entiendo es cómo se usa el término DMZ. Las funciones descritas suenan mucho más como lo que se hace con un firewall de nivel de aplicación:
Termination of IP connections at the DMZ provides opportunity for inspection and
restriction of source/destination, and/or inspection / blocking of content, thus
preventing unfiltered access between untrusted and trusted environments.
Termination of IP connections both inbound and outbound provides opportunity for
inspection and restriction of source/destination, and/or inspection / blocking of
content, thus preventing unfiltered access between untrusted and trusted
environments. This helps prevent, for example, malicious individuals from sending
data they've obtained from within your network out to an external untrusted server
in an untrusted network.
Estas descripciones suenan exactamente como lo que hace TMG fuera de la caja.
Tomando esto literalmente, tendría una segunda caja de TMG dentro de la DMZ que me proporciona mi primera caja de TMG ... Eso me parece una locura. Parece que el estándar fue escrito para una configuración más antigua, algo así como tener un PIX bloqueando todo el tráfico y rebotando todo a través de un segundo servidor que ejecuta algo como ISA / Forefront que se encuentra dentro de la DMZ.
Hasta donde puedo imaginar, no habría ningún beneficio de seguridad de tener una caja separada en la DMZ para este uso de mi configuración, excepto si tengo una caja de Apache fuera e IIS dentro (o viceversa).
Proporcione información sobre cómo o por qué sería beneficioso terminar estas conexiones en una DMZ en lugar de hacerlo dentro del propio firewall. Simplemente no lo estoy viendo.