In sicurezza delle reti, la DMZ (Demilitarized Zone, zona demilitarizzata) è un segmento di rete separato che ospita i servizi che devono essere accessibili da Internet — web server, server di posta, server DNS pubblici, reverse proxy — tenendoli fisicamente o logicamente isolati dalla rete interna (LAN trusted). L’obiettivo è contenere il danno: se un server in DMZ viene compromesso, l’attaccante si trova in un segmento privo di risorse interne critiche, separato da un secondo livello di firewall che deve essere violato prima di raggiungere i database o i sistemi interni.
Architettura a tre gambe
La topologia classica prevede un firewall con tre interfacce:
- WAN (Internet, non fidata)
- DMZ (zona semifidata, con regole restrittive verso LAN)
- LAN (rete interna, fidata)
Il traffico da Internet raggiunge solo la DMZ. La LAN non è mai direttamente raggiungibile dall’esterno: le richieste degli utenti interni verso Internet escono dalla LAN verso DMZ e poi verso WAN, ma il percorso inverso non è consentito senza regole esplicite.
Una variante più robusta usa due firewall separati (da vendor distinti): il primo tra Internet e DMZ, il secondo tra DMZ e LAN. In questo modo, comprometterne uno non espone automaticamente entrambi i livelli.
Politiche di traffico tipiche
| Direzione | Traffico consentito |
|---|---|
| Internet → DMZ | Solo porte dei servizi esposti (80, 443, 25, 53…) |
| DMZ → Internet | Solo connessioni iniziate dalla DMZ (risposta a richieste, aggiornamenti) |
| LAN → DMZ | Gestione amministrativa (SSH, RDP su porte non standard) |
| DMZ → LAN | Nessuno, o strettamente limitato (es. query DB su porta specifica) |
| Internet → LAN | Mai, nessuna eccezione |
Principio del minimo privilegio applicato alla rete
La DMZ è l’applicazione del principio del minimo privilegio alla segmentazione di rete: ogni server riceve solo l’accesso alle risorse di cui ha strettamente bisogno. Un web server in DMZ che deve leggere un database interno apre una singola connessione TCP sulla porta del database verso uno specifico IP interno — non ha accesso all’intera LAN. Questo riduce drasticamente il raggio d’azione di un attaccante che ha compromesso il web server.
DMZ e architetture moderne
Nei deployment cloud e in architetture Zero Trust, il concetto di DMZ tradizionale (basato su perimetro fisico) si trasforma: non esiste più una “rete esterna” e una “rete interna” definite geograficamente. La segmentazione diventa micro-segmentazione applicativa, basata sull’identità del workload e non sulla posizione nella rete. Il principio concettuale — isolare i servizi esposti dal core aziendale — rimane invariato.