Windows Server in DMZ - gestito via AD o standalone?

1

Da un punto di vista della sicurezza, ha senso collegare i server Windows in esecuzione nella DMZ e dovrebbe essere raggiungibile dal Web verso l'AD (in esecuzione nella rete principale)? O meglio gestirli con un DMZ AD o semplicemente standalone?

A mio avviso, è un rischio per la sicurezza lasciare i porti aperti verso la rete principale, ma ci può essere una richiesta di una soluzione adeguata quando si tratta di gestire ambienti su larga scala? Ci sono altri approcci là fuori come per es. posizionandoli su AWS / Azure e gestendo tramite un AD Cloud separato dalla rete?

    
posta user178620 28.08.2018 - 00:56
fonte

2 risposte

1

Il tuo ragionamento è giusto.

I tuoi server DMZ collegati al tuo dominio interno rappresentano un rischio da evitare. Solitamente un dominio Active Directory separato per la tua DMZ o l'esecuzione di ciascun server standalone è l'opzione migliore.

Un ambiente piccolo potrebbe andare bene con standalone, ma oltre una dozzina circa di server o con un team più ampio di personale, un dominio separato potrebbe essere più facile da gestire. Potresti avere un trust esistente tra il tuo dominio DMZ e il dominio interno, ma dovrebbe essere gestito con cura.

Avrai sempre la necessità di connettere parti della tua DMZ alla tua rete interna (ad esempio i server proxy), ma dovrebbe sempre essere strettamente necessario. Inoltre, se la tua DMZ viene compromessa e qualcuno può rubare le credenziali di un amministratore DMZ, non avranno automaticamente accesso al tuo dominio interno.

    
risposta data 28.08.2018 - 01:18
fonte
0

Accettando ciò che è stato detto cercherò di dare una visione diversa. L'AD è un rischio per la sicurezza indipendentemente da dove viene utilizzato. La quantità di tempo che di solito impiega un avversario per ottenere il controllo di un'intera rete di solito si riduce drasticamente quando è presente un annuncio. Ci sono così tanti strumenti di attacco ai biglietti PTH \ PTT \ Golden che ho perso il conto. Ovviamente questa è la tensione infinita tra sicurezza e capacità di gestire e gestire una rete su larga scala. Se non è assolutamente necessario, non aggiungerei i server DMZ a nessun dominio e trattarli come entità esterne, indurendoli e fornendo una password diversa impostata per ciascuno. Limitazione della connettività nella rete solo per il business case necessario.

    
risposta data 24.09.2018 - 15:44
fonte

Leggi altre domande sui tag