ทำไมองค์กรใหญ่ต้องมี “DMZ Zone”? เพราะเอา Web Server ไว้ใน LAN ตรงๆ เท่ากับเปิดทางให้โดนเจาะทั้งบริษัท 🌐

หลายคนที่เริ่มดูแลงาน Network หรือเปิดระบบให้คนภายนอกใช้งาน มักเคยได้ยินคำว่า “DMZ Zone” แต่บางทีก็ยังงงๆ ว่ามันคืออะไรกันแน่ แล้วทำไมองค์กรใหญ่ถึงซีเรียสเรื่องนี้มาก

เอาแบบเข้าใจง่ายที่สุด DMZ คือ “โซนกันชน” ระหว่าง Internet กับระบบภายในองค์กรครับ

หน้าที่ของมันคือ เอาเครื่องที่จำเป็นต้องเปิดให้คนนอกเข้าถึง เช่น

Web Server
Mail Server
VPN Server
Reverse Proxy
DNS Server

ออกมาไว้ในพื้นที่แยกต่างหาก แทนที่จะโยนเข้าไปอยู่รวมกับเครื่องพนักงานหรือ Server สำคัญใน LAN ตรงๆ

เพราะถ้า Server ที่เปิด Internet โดนเจาะขึ้นมาจริงๆ สิ่งที่น่ากลัวไม่ใช่แค่เว็บล่มครับ แต่คือ Hacker อาจใช้เครื่องนั้นเป็นทางผ่านไปต่อในระบบภายในได้เลย

พวก File Server, Database, Domain Controller หรือแม้แต่เครื่องพนักงาน อาจโดนลากไปด้วยทั้งหมดถ้า network ไม่มีการแบ่ง zone เอาไว้

หน้างานจริง ผมเคยเจอหลายที่ที่ “เว็บบริษัท” วางอยู่ VLAN เดียวกับเครื่องใช้งานทั่วไป แบบนี้ถ้าโดน RCE หรือโดน web shell เข้าไปทีเดียว เรื่องจะยาวทันที เพราะ attacker สามารถเริ่ม scan network ภายในต่อได้เลย

DMZ เลยมีไว้เพื่อลด damage ตรงนี้

แนวคิดมันไม่ได้ซับซ้อนครับ

สมมุติ Web Server ใน DMZ ถูกโจมตี อย่างน้อย Firewall ยังช่วยบังคับ direction การวิ่งของ traffic ได้ และกันไม่ให้เครื่องใน DMZ วิ่งเข้าหา LAN ได้อิสระ

พูดง่ายๆ คือ “ยอมให้โดนได้บางส่วน แต่ไม่ยอมให้ลามเข้าบ้านหลัก”

ต่างจากหลายระบบที่เปิด Port Forward ตรงเข้าข้างในแบบไม่มีอะไรคั่น ซึ่งเจอบ่อยมากใน SMB หรือออฟฟิศเล็กๆ

Port Forward มันแค่เปิดประตู

แต่ DMZ คือแยกพื้นที่ + มี policy คุมจริง

อันนี้คนชอบเข้าใจว่าเหมือนกัน ทั้งที่ระดับ security ต่างกันเยอะพอสมควร

อีกเรื่องที่หลายองค์กรพลาดคือเอา Database ไปไว้ใน DMZ ด้วย อันนี้อันตรายมาก เพราะ DB คือของสำคัญที่สุดอย่างหนึ่งในระบบ ถ้าหลุดทีเดียวผลกระทบจะหนักกว่าเว็บล่มหลายเท่า

Best Practice ที่สาย infra ใช้กันจริงๆ ส่วนใหญ่จะประมาณนี้ครับ

เปิดเฉพาะ port ที่จำเป็น
DMZ ห้าม access เข้า LAN มั่วๆ
Patch เครื่องสม่ำเสมอ
ใช้ WAF หรือ IDS/IPS ถ้ามีงบ
แยก Database ไว้ด้านใน
Log และ monitor traffic ตลอด

หลายครั้งปัญหาไม่ได้เกิดจาก hacker เก่งเกินไปนะครับ แต่เกิดจาก architecture มั่วตั้งแต่แรก

บางที่ซื้อ Firewall เป็นแสน แต่สุดท้ายเปิด Any-Any rule ทิ้งไว้หมด เท่ากับล็อกประตูบ้านแต่เปิดหน้าต่างทุกบานทิ้งไว้เหมือนเดิม

สาย System Admin หรือ Network Engineer น่าจะเคยเจอเคสปวดหัวเกี่ยวกับ DMZ กันบ้าง องค์กรของแต่ละคนแบ่ง zone ชัดเจนกันแค่ไหนครับ หรือยังมี service สำคัญบางตัวที่จำเป็นต้องวางใน LAN ตรงๆ อยู่บ้าง?