Perbedaan antara ekstranet dan DMZ [ditutup]

Saya sudah membaca tentang intranet, ekstranet, DMZs dan VPN sekarang, dan saya perlu beberapa klarifikasi terkait ekstranet dan DMZs. Saya mengerti bahwa mereka adalah jenis konsep yang berbeda - extranet memungkinkan akses terbatas ke beberapa sumber daya intranet, sementara DMZ adalah subnet yang berada di antara internet dan intranet dan menyelenggarakan layanan yang dihadapi eksternal. Namun, saya ingin tahu apa perbedaan mereka dalam praktik dalam pengaturan yang biasa? The artikel Wikipedia pada extranet mengatakan bahwa extranet mirip dengan DMZs karena mereka digunakan untuk tujuan yang sama (menyediakan akses ke beberapa layanan / sumber tanpa mengekspos seluruh intranet). Artikel tersebut juga menyatakan bahwa ekstranet adalah bagian dari VPN, dan artikel TechNet inijuga menyatakan bahwa akses ekstranet sering diimplementasikan mirip dengan akses intranet jarak jauh, misalnya dengan VPN. Artikel TechNet juga mengatakan bahwa umumnya extranet di-host di dalam DMZ. Artikel Pearson ini mengatakan "Meskipun [DMZ] secara teknis terletak di dalam intranet, [itu] dapat berfungsi sebagai ekstranet juga". Ini sedikit membingungkan.

Pertimbangkan skenario ini: Perusahaan memiliki situs web B2C di-host di DMZ. Situs web dapat diakses dari mana saja, tetapi membutuhkan otentikasi pengguna. Aplikasi web yang mendasarinya memiliki database di dalam intranet dan juga berinteraksi dengan beberapa layanan web yang dihosting di dalam intranet (yaitu mengakses sumber daya intranet). Cara saya melihatnya, situs web memang secara efektif menawarkan akses terbatas ke intranet. Tapi bisakah itu dianggap ekstranet? Jika kita mengambil definisi Wikipedia tentang ekstranet secara harfiah - "Extranet adalah jaringan komputer yang memungkinkan akses terkontrol dari luar intranet organisasi" - Saya pikir itu bisa.

Katakanlah di atas tidak dapat dianggap sebagai ekstranet. Bagaimana jika kita mengubah sedikit skenario, dan mengatakan itu adalah situs web B2B, di mana aksesnya mis terbatas pada koneksi yang berasal dari mitra bisnis tertentu (misalnya, dengan menggunakan VPN situs-ke-situs). Dalam hal ini tentunya ekstranet, bukan? Jika ini masalahnya, maka perbedaan antara layanan ekstranet dan layanan lain yang dihosting di DMZ hanyalah pembatasan akses?

Ini adalah perbedaan akademik. Di dunia nyata, Anda akan menemukan beberapa kombinasi dari semua konsep ini dengan istilah yang berbeda.

Di beberapa organisasi, DMZ memiliki koneksi jaringan ISP yang terpisah dan tidak memiliki akses ke sumber daya internal. Di organisasi lain, ada mesin yang bergabung dengan domain di DMZ yang dapat berkomunikasi dengan serangkaian mesin internal yang terbatas. Terkadang internal dan DMZ memiliki firewall yang terpisah. Terkadang mereka memiliki antarmuka terpisah pada firewall yang sama.

Penting untuk mengetahui mengapa seseorang harus menggunakan ekstranet atau DMZ, karena itu adalah konsep keamanan yang penting. Dari sana, Anda dapat membuat pilihan tentang cara mengizinkan akses ke sumber daya tertentu. Apa sebutannya sebenarnya tidak masalah. Dalam beberapa kasus, ia membelah rambut.

Saya tidak berpikir saya baru saja mendengar ekstranet di luar buku pelajaran dan ruang kelas.

Sebuah DMZ adalah topologi jaringan umum dengan segmen jaringan yang dipisahkan oleh firewall dari jaringan internal dan eksternal tidak dipercaya jaringan (alias internet ).

Sebaliknya, Extranet , jika itu benar-benar termasuk dalam desain jaringan, agaknya menyiratkan bahwa itu terhubung ke VPN atau jaringan pribadi aktual alih-alih keseluruhan internet yang lebih besar.

Banyak perusahaan memiliki beberapa jaringan DMZ dan akan mempertimbangkan jaringan dengan gateway VPN / router atau interkoneksi pribadi hanya DMZ lainnya.

Lebih sering ekstranet / bukan topologi jaringan tetapi lebih tersirat menjadi layanan yang terpisah dari jaringan internal yang disediakan untuk sekelompok pengguna, perusahaan dan jaringan eksternal yang agak dipercaya, dikenal dan / atau diautentikasi.

Dari perspektif jaringan, server web Anda harus berada di jaringan DMZ. Fakta bahwa situs web Anda memungkinkan pengecer untuk masuk, menelusuri katalog, melihat stok, dan memesan, akan berarti bahwa situs web Anda akan disebut ekstranet oleh departemen pemasaran. Biaya pengembangan akan berubah dari $$ ke $$$$.

Bagi saya, saya merebus ini menjadi kebijakan keamanan. Kami memiliki kebijakan tertulis bahwa tidak ada sistem yang dapat diakses publik akan memiliki akses masuk ke intranet kecuali pengecualian khusus diizinkan. Kami juga memiliki kebijakan bahwa DMZ tidak akan memiliki akses masuk ke intranet kami dan extranet kami. Misalnya, kami memiliki server web dengan database backend yang harus menyinkronkan data dengan database berbasis intranet. Kami menempatkan server web pada DMZ, database backend pada Extranet, dan disinkronkan dengan database intranet produksi. Jadi untuk peringkat kepercayaan, jaringan publik akan menjadi 0, DMZ akan menjadi 1, Extranet akan menjadi 2, dan intranet akan menjadi 3.