Saltar al contenido principal

Arquitectura de red DMZ y su rol en la seguridad

Lectura de 2 min aprox.

Una DMZ (DeMilitarized Zone, zona desmilitarizada) es una zona de amortiguación situada entre la red interna y la red externa (internet). Al colocar en la DMZ los servidores que necesitan ser accesibles desde el exterior, como los servidores web y de correo, se puede evitar la intrusión directa en la red interna aunque esos servidores se vean comprometidos. Combinada con un firewall, es un patrón de diseño de red fundamental para lograr la defensa en profundidad. A fecha de 2025, en los entornos en la nube la configuración de subredes públicas/privadas de una VPC hereda el concepto de DMZ, y se recomienda su uso combinado con la arquitectura de confianza cero.

Casos de uso reales

«Nuestro servidor web se vio comprometido, pero el firewall entre la DMZ y la red interna cumplió su función y se bloqueó el acceso a la base de datos de clientes. Sin la DMZ, el atacante habría llegado directamente a la base de datos desde el servidor web.»

Arquitectura de red DMZ

Internet
Firewall externo
DMZ (servidor web, servidor de correo)
Firewall interno
Red interna (base de datos, sistemas de negocio)

Patrones de configuración de DMZ

En una configuración de un solo firewall, se establecen tres interfaces de red en un firewall para separar los segmentos externo, DMZ e interno. En una configuración de doble firewall, la DMZ se coloca entre un firewall externo y uno interno, logrando una separación más sólida. En los entornos en la nube, la subred pública de una VPC corresponde a la DMZ, y el tráfico se controla con grupos de seguridad y ACL de red. libros sobre diseño de DMZ (Amazon) son una buena forma de aprender estos patrones de configuración.

Un escenario de diseño real

Una empresa que opera un sitio de comercio electrónico coloca sus servidores web y proxies inversos en la DMZ, mientras que los servidores de aplicaciones y de base de datos residen en la red interna. El tráfico desde la DMZ hacia la red interna solo se permite en puertos específicos (por ejemplo, el puerto 8080 del servidor de aplicaciones), y se prohíbe el acceso directo a la base de datos. Con este diseño, aunque un servidor web se vea comprometido, se puede evitar el acceso directo a la base de datos de clientes. Una política de seguridad corporativa también define las reglas de control de acceso para los servidores dentro de la DMZ.

Aspectos clave del diseño

Restrinja al mínimo la comunicación desde los servidores de la DMZ hacia la red interna, y limite el acceso administrativo desde la red interna a la DMZ para que se realice a través de un host bastión. Proteja todos los servidores y dispositivos de red de la DMZ con contraseñas aleatorias robustas, y haga obligatoria la autenticación multifactor para el acceso administrativo. Bajo los principios de la seguridad de confianza cero, se recomienda un diseño que verifique no solo la defensa del perímetro de la DMZ, sino también la comunicación entre los servidores individuales.guías de seguridad de redes (Amazon) también son referencias útiles.

Términos relacionados

¿Te resultó útil este artículo?

XHatena