DMZ
定義
DMZ(非武装地帯:Demilitarized Zone)はインターネットと内部ネットワークの間に設ける独立したネットワークセグメントで、Webサーバー・メールサーバー・DNSサーバーなど外部公開が必要なシステムを集約して配置します。外部からDMZへのアクセスはファイアウォールで制御され、DMZから内部ネットワーク(基幹システム・データベース)への直接アクセスは原則禁止します。外部の攻撃者がDMZ内のWebサーバーを侵害しても、そこから内部の基幹システムへの横展開が困難になるよう設計されたネットワーク分離の基本構成です。クラウド環境ではVPCのサブネット分割・セキュリティグループ・NACLを組み合わせてDMZと同等の構成を論理的に実現します。マイクロセグメンテーションはDMZの考え方をデータセンター内部(東西トラフィック)にも適用し、侵入後のラテラルムーブメントをセグメント単位で封じます。
関連用語
よくある質問
DMZとは?
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部攻撃が内部に直接届かない構成を実現する。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ