質問
解答
とても良い質問です。
結論から言うと、パッチ管理サーバ(=更新プログラムを一元管理・配布するサーバ)は、原則として DMZ ではなく「内部ネットワーク(LAN 内)」に設置するのが基本です。 ただし、外部との通信制限や拠点構成の事情によっては DMZ に配置するケースもあるため、目的とリスクを整理することが大切です。
■ まず整理:パッチ管理サーバとはパッチ管理サーバは、OS やソフトウェアの更新を一元的に管理・配布するためのサーバです。
代表的な例:
■ 原則:内部ネットワークに設置する理由構成イメージ[Internet] │(HTTPSなど)[Firewall] │[内部ネットワーク] ── [パッチ管理サーバ] ── [クライアントPC群]
主な理由管理対象(クライアント)は社内PC・サーバだから セキュリティ上、安全な位置に置ける DMZは外部からアクセスされるリスクが高い。 内部配置なら、ファイアウォールの内側で守られる。
管理・監査が容易
■ 例外:DMZに置くケースDMZ配置が検討されるのは次のような場合| 条件 | 理由・背景 |
|---|
| 社内LANが外部通信禁止 | Microsoft Updateや外部リポジトリに直接アクセスできないため、DMZ経由で更新を取得 | | 多拠点構成 | DMZに中継サーバを置いて、複数拠点のWSUS/SCCMがそこから更新を受け取る | | セキュリティ分離環境 | 内部ネットワークを完全分離し、DMZを“緩衝地帯”として利用する場合 |
構成イメージ(例)[Internet] ── [Firewall] ── [DMZ: パッチ中継サーバ] ── [Firewall] ── [内部ネットワーク: 管理用WSUS]
この構成では、DMZのサーバが外部から更新を取得し、内部ネットワークのWSUSやSCCMへ中継します。
ただし、DMZ↔内部間で通信ポート(TCP 8530/8531 など)を厳密に制御する必要があります。
■ DMZ配置の注意点
■ まとめ| 項目 | 内部ネットワーク配置 | DMZ配置 |
|---|
| 主な用途 | クライアント・サーバへの直接配布 | 外部→内部の中継・キャッシュ | | セキュリティ | 高い(外部非公開) | 攻撃リスクあり(堅牢化必須) | | 管理性 | 高い | やや複雑(通信制御必要) | | 推奨度 | ◎(標準構成) | △(特殊要件のみ) |
■ 結論パッチ管理サーバは、基本的には内部ネットワークに置くべき。
DMZ配置は「外部接続制限が厳しい」「多拠点中継が必要」といった特別な事情がある場合に限る。
|
 |
| |
【下記、広告です。クリックいただけると励みになります。】
