Що таке мережа DMZ?

Уявіть, що ваша мережа — це офіс. Є ресепшн, куди заходять усі, є робочі місця, а ще є сейф із дуже важливими документами. Логічно, що всіх гостей ви не ведете до сейфа.

DMZ (Demilitarized Zone, демілітаризована зона) — як технічний ресепшн для мережі. Окрема підмережа між інтернетом і внутрішньою локальною мережею (LAN). Там живуть публічні сервіси: веб, пошта, DNS, VPN, проксі та інші служби, до яких звертаються ззовні. Їх ізолюють від LAN, щоб зменшити ризики при зламі.

Щоб краще зрозуміти, як усе це працює в інфраструктурі, розкладімо по поличках ключові принципи DMZ.

Звідки взявся термін DMZ?

Він прийшов із військової сфери. Демілітаризована зона — це простір між двома сторонами, де заборонені бойові дії. 

У мережах сенс подібний: DMZ не така захищена, як внутрішня мережа, але й не настільки небезпечна, як відкритий інтернет. Це проміжна зона, де можна безпечніше розміщувати сервіси, доступні зовні.

Коли бізнеси масово перейшли у веб, стало ясно: тримати публічний вебсервер у тій самій LAN, де живуть GitLab, Jira та бази даних, — надто ризиковано. Так і сформувалася архітектура DMZ: зовнішні сервіси винесли в окремий сегмент між інтернетом і внутрішньою мережею та захистили шарами брандмауерів.

Як працює DMZ?

DMZ працює за простою логікою: зовнішній трафік приймає окремий сегмент, а будь-яке звернення до внутрішньої мережі дозволяється лише за суворими правилами доступу. Механізм роботи містить такі етапи:

Користувач або клієнтський застосунок з інтернету надсилає запит

Наприклад: відкриття сайту, запит до API, підключення VPN чи надсилання листа.

Запит спершу приходить на зовнішній firewall

Саме він вирішує, чи пропустити трафік далі. Firewall перевіряє:

• IP-джерела й напрямок трафіку;
• порти та протоколи;
• геолокацію;
• сигнатури можливих атак.

Якщо правила дозволяють — трафік проходить.

Після фільтрації трафік потрапляє у DMZ

Тут розміщені всі сервіси, які повинні бути доступними з Інтернету:

• web/app сервери;
• reverse proxy або WAF;
• поштові шлюзи;
• DNS, FTP, SFTP;
• VPN-концентратори.

Усі вони ізольовані від внутрішньої мережі.

Якщо сервісу з DMZ потрібен доступ до LAN — він звертається через внутрішній firewall

Наприклад, вебсерверу потрібно отримати дані з бази в LAN. Внутрішній firewall пропускає тільки чітко визначені запити на кшталт: «сервер А → сервер B → порт X → протокол Y». Усі інші напрямки блокуються.

Паралельно працюють моніторинг і журналювання

Інструменти такі як SIEM, IDS/IPS, NetFlow або syslog відстежують:

• підозрілі підключення;
• сканування портів;
• аномальні обсяги трафіку;
• спроби експлойтів чи brute-force.

Завдяки цьому аномалії виявляються раніше, ніж трафік дійде до внутрішніх систем.Якщо зловмисник зламає вебсервер у DMZ, він все ще має пройти внутрішній firewall, VPN, ACL, моніторинг — це значно складніше, ніж одразу опинитися у внутрішній мережі.

Архітектура: один firewall чи два?

1. DMZ з одним брандмауером 

Один потужний firewall із трьома інтерфейсами:

• WAN — Інтернет;
• LAN — внутрішня мережа;
• DMZ — публічні сервіси.

Маршрутизація й фільтрація трафіку відбуваються на одному девайсі.

Плюси:

• простіше адмініструвати;
• дешевше в закупівлі;
• підходить для невеликих і середніх компаній.

Мінус: single point of failure. Тобто, якщо цей firewall лягає або його конфіг пробивають — страждають всі зони.

2. DMZ з двома брандмауерами 

Тут уже два рівні захисту:

Зовнішній firewall:

• пропускає лише трафік, що йде в DMZ;
• блокує будь-які прямі спроби в LAN.

Внутрішній firewall:

• пропускає трафік з DMZ до LAN тільки за дуже конкретними правилами;
• часто іншого вендора (defence in depth).

Плюси:

• складніше скомпрометувати два різних девайси;
• DR-сценарії простіше описувати й тестувати.

Мінус: дорожче й складніше в підтримці.

Розмежування мереж: що саме виносити в DMZ? 

Щоб DMZ давала реальний захист, потрібно чітко розділити сервіси за ризиками. Логіка проста:

• усе, що працює з Інтернетом — у DMZ; 
• усе, що містить критичні дані — у внутрішній мережі.

Що розміщують у DMZ (зовнішній сегмент)?

Тут живуть сервіси, з якими взаємодіють зовнішні користувачі або партнери. Їм потрібна доступність, але не можна давати прямий шлях у LAN.

У DMZ зазвичай виносять:

• вебсервери та API-шлюзи — усе, що приймає HTTP/HTTPS трафік;
• поштові шлюзи (SMTP-relay) — приймають пошту з Інтернету;
• публічний DNS — відповідає на зовнішні запити;
• reverse proxy/WAF — фільтрують трафік HTTP перед тим, як він потрапить далі;
• VPN-ендпоінти — точка входу для співробітників чи партнерів;
• FTP/SFTP-сервіси — коли потрібно передавати файли назовні;
• проксі-сервери — контролюють вихідний трафік з компанії у зовнішній світ.

Головне правило: у DMZ не зберігають чутливу інформацію, а лише те, що має бути доступним ззовні.

Що залишається у LAN (внутрішній сегмент)?

Це приватна частина мережі, де працюють сервіси, які не повинні контактувати з інтернетом напряму:

• бази даних;
• внутрішні API та бекенд-сервіси;
• CI/CD, моніторинг, ERP та інші службові системи;
• внутрішній DNS і поштові сервери.

У DMZ не має бути жодних загальних дозволів: правила доступу мають бути тільки точковими й чітко обмеженими.

Окремі зони та мікросегментація

Для додаткового захисту окремо виділяють сегменти:

• для IoT/OT-пристроїв;
• для критичних сервісів, які не повинні перетинатися навіть з LAN;
• для гостьових або тестових середовищ, які апріорі менш довірені.

Мікросегментація робиться через VLAN, L3 чи security groups. У Kubernetes — це network policies, які задають правила комунікації між подами.

Переваги DMZ

Переходимо до головного: навіщо DevOps-інженеру чи сисадміну витрачати час на це все?

Додатковий рівень безпеки для LAN

DMZ додає захист внутрішній мережі. Якщо зламують сервер у цьому зовнішньому сегменті, зловмисник все одно не потрапить у LAN, бо його зупинить внутрішній брандмауер.

Що це дає?

• Шкода від зламу обмежується лише зовнішнім сегментом, а не всією інфраструктурою.
• Зловмиснику значно важче рухатися далі всередині мережі.
• Команда безпеки отримує час, щоб помітити інцидент і зупинити атаку до того, як вона дійде до критичних систем.

Контроль доступів і прозорі політики

DMZ змушує навести порядок у правилах: хто, куди, по якому порту й протоколу пересувається.

Практична вигода:

• Правила доступу формулюються чітко: наприклад, вебсервер у DMZ може звертатись до бази даних лише на конкретний порт.
• Аудит і вимоги комплаєнсу (PCI DSS, HIPAA та інші) проходити простіше, бо мережа має прозору структуру й контрольовані потоки трафіку.
• Зникає типова пастка, коли хтось відкриває доступи без обмежень (DMZ змушує діяти за правилами).

Захист від reconnaissance та IP spoofing

Reconnaissance — це ситуація, коли зловмисник сканує порти, збирає банери сервісів і намагається зрозуміти, як влаштована твоя мережа. 

З DMZ він бачить лише те, що справді винесено у периметр. Внутрішню інфраструктуру зловмисник не вирахує — доступ до LAN повністю відокремлений.

IP spoofing — підміна IP-адреси, щоб виглядати звичайним користувачем. У DMZ можна додати додаткові перевірки:

• валідацію IP або ASN;
• фільтрацію за географією;
• перевірку через reverse DNS або репутаційні бази.

Це не універсальний захист, але ще один шар, який помітно ускладнює роботу злодію.

Оптимізація продуктивності публічних сервісів

DMZ допомагає розділити навантаження так, щоб зовнішні сервіси не заважали роботі внутрішніх систем. Це дає кілька практичних переваг:

• Можна виділити окремі ресурси під вебсайти та API, не конкуруючи з внутрішніми завданнями.
• Легко налаштувати власні балансувальники, кешування, rate limiting саме для зовнішнього трафіку.
• Зовнішні та внутрішні профілі навантаження розділяються, і кожен сегмент отримує свою оптимізацію.

У результаті піки трафіку з інтернету майже не впливають на корпоративні сервіси — інфраструктура працює стабільніше та передбачуваніше.

Недоліки DMZ

DMZ — це не проста опція, яку можна увімкнути й забути. Такий підхід має свої нюанси.

Складність і вартість

• Потрібна додаткова мережева інфраструктура (фаєрволи, окремі сегменти, публічні адреси, TLS).
• Додаткова підтримка й документація (правила доступу, схеми, зміни).

Якщо компанія довго працювала без сегментації, перехід до DMZ стає окремим проєктом, у який доведеться залучити більше фахівців із безпеки.

Ризик фейкової безпеки

Сам факт наявності DMZ не гарантує захист. Далі розберемо типові помилки, через які DMZ є, але користі небагато:

• Між DMZ і LAN залишають доступи без обмежень (any-any у firewall).
• У зовнішньому сегменті та у внутрішній мережі використовують однакові облікові записи або ключі.
• У самій DMZ немає сегментації: вебсервери, DNS і VPN опиняються в одному просторі без обмежень.

У такій конфігурації зловмиснику нескладно переміщатися мережею далі, тож DMZ фактично не створює додаткового бар’єра.

Помилки в конфігурації

У роботі з DMZ часто виникають технічні проблеми, які знижують ефективність. Найпоширеніші:

• Правила доступу заплутані настільки, що їх бояться змінювати.
• Тимчасові дозволи залишились назавжди та ніхто не пам’ятає, навіщо вони були.
• Налаштування між on-prem, хмарою та VPN не узгоджені між собою.

Ці проблеми виникають не через DMZ як концепцію, а через людський фактор. Але саме в цій зоні зазвичай накопичується найбільше старих, суперечливих і забутих налаштувань. Це створює додаткові ризики.

Firewall, VPN, моніторинг: як вони інтегруються з DMZ?

DMZ — це лише окремий сегмент. Захищеною вона стає тоді, коли правильно поєднана з іншими інструментами.

Firewall

Брандмауер задає правила гри для всього трафіку, що проходить через DMZ. Він:

1. розділяє потоки між інтернетом, DMZ і внутрішньою мережею;
2. контролює, які з’єднання дозволені, а які блокуються;
3. виконує NAT і базовий захист від перевантажень чи DoS-спроб;
4. фіксує дозволені напрямки трафіку — це важливо і для документації, і для проходження аудитів.

Без чітких правил у firewall DMZ не виконує своєї основної функції — ізоляції.

VPN

Зазвичай точки VPN-доступу розміщують саме в DMZ. Це дозволяє:

1. приймати підключення зовнішніх користувачів через окремий сегмент, а не напряму у LAN;
2. після успішної автентифікації пускати трафік лише в ті внутрішні сегменти, які реально потрібні;
3. контролювати повноваження клієнтів VPN через firewall.

Такий підхід зменшує ризик, що заражений робочий ноутбук, підʼєднавшись до VPN, одразу отримає доступ до всього внутрішнього середовища.

Аналіз і моніторинг мережі

DMZ — зручне місце для встановлення мережевих сенсорів і систем моніторингу. Тут можна:

1. збирати NetFlow, sFlow та інші метрики;
2. відстежувати сканування, brute force, дивний трафік HTTP/SSH/SMTP;
3. будувати окремі дашборди саме по периметру, не змішуючи їх із внутрішнім трафіком.

Для DevOps-інженерів і сисадмінів це означає швидше виявлення аномалій та точнішу діагностику інцидентів.

Як поетапно впровадити DMZ?

Для коректної роботи DMZ важливо не просто створити окремий сегмент, а продумати, як рухатиметься трафік і як саме контролюватимуться доступи. 

Ловіть план, який допоможе структуровано пройти весь процес і уникнути типових помилок.

1. Проведіть інвентаризацію сервісів

• Визначіть, які сервіси мають бути доступні з інтернету: сайти, API, пошта, VPN, SFTP, DNS.
• Розберіть, які сервіси повинні працювати тільки у внутрішній мережі й не виходити за її межі.

2. Спроєктуйте сегментацію

• Створіть окремий сегмент для DMZ — у вигляді VLAN або повністю окремої мережі.
• Визначіть, чи вистачить одного брандмауера, чи потрібна схема з двома рівнями захисту.
• Опишіть всі потоки трафіку: хто до кого звертається, через які порти та з якою метою.

3. Налаштуйте firewall

• Інтернет → DMZ — доступ тільки до публічних сервісів.
• DMZ → LAN — мінімально необхідні запити, наприклад, від вебсервера до бази даних.
• LAN → DMZ — доступ для адміністрування, деплою чи систем моніторингу.

4. Перенесіть публічні сервіси в DMZ

• Вебсервери та reverse proxy.
• Поштові шлюзи (які приймають та передають зовнішню пошту).
• Публічний DNS.
• VPN-ендпоїнти, через які підключаються співробітники або партнери.

5. Додайте захист: TLS, VPN, hardening

• Максимально використовуйте HTTPS.
• Залиште відкритими тільки необхідні порти.
• Створіть окремі облікові записи та ключі для сервісів у DMZ, не змішуйте їх із внутрішніми.

6. Налаштуйте моніторинг і логування

• Зберіть логи з firewall, reverse proxy, VPN, поштових і DNS-служб.
• Налаштуйте алерти на аномальні події (дивні країни, нетиповий трафік, помилки авторизації).

Підсумуємо

DMZ впорядковує мережу: допомагає перенести сервіси за рівнями доступу, зменшити кількість непомітних ризиків і зробити інфраструктуру більш керованою. Це про те, щоб кожен елемент мережі працював у зрозумілих умовах і не створював зайвих загроз.

Хочете глибше розібратися, де виникають мережеві вразливості і як їх виявляти ще до інцидентів? Чекаємо на безплатному вебінарі «Мережева кібербезпека: помилки, яких варто уникати» 18 грудня. Там поговоримо більше про типові атаки, помилки в конфігураціях і практичні техніки захисту, які справді впливають на безпеку інфраструктури.