web-dev-qa-db-ja.com

DMZのWindowsサーバー-ADまたはスタンドアロンで管理されていますか?

セキュリティの観点から、DMZ内で実行され、WebからAD(コアネットワーク内で実行)に到達可能でなければならない)Windowsサーバーを接続することは意味がありますか?またはむしろ、DMZ ADまたはスタンドアロンで管理しますか?

私の理解では、コアネットワークに向けてポートを開いたままにしておくことはセキュリティリスクですが、大規模環境の管理に関しては適切なソリューションが必要になる可能性がありますか?他の方法はありますか?それらをAWS/Azureに配置し、ネットワークから分離されたCloud ADを介して管理しますか?

2
user178620

あなたの推論は正確です。

DMZサーバーが内部ドメインに参加することはリスクを回避する必要があります。通常は、DMZに対して個別のActive Directoryドメインを使用するか、各サーバーをスタンドアロンで実行することをお勧めします。

小規模な環境ではスタンドアロンの場合は問題ないかもしれませんが、サーバーが12台以上ある場合、またはスタッフのチームが大きい場合は、個別のドメインを管理する方が簡単な場合があります。 DMZドメインと内部ドメインの間に信頼関係が存在する可能性がありますが、注意して管理する必要があります。

DMZの一部を内部ネットワーク(プロキシサーバーなど)に接続する必要は常にありますが、常に必要に応じて厳密に接続する必要があります。さらに、 DMZが侵害され、誰かがDMZ管理者の資格情報を盗むことができる場合、彼らは自動的に内部ドメインにアクセスできなくなります。

2
Stephen Sennett

言われたことに同意する私は少し違う見方をしようとするつもりです。 ADは、どこで使用されているかに関係なく、セキュリティリスクです。 ADが配置されている場合、通常、敵対者がネットワーク全体を制御するのにかかる時間は劇的に短縮されます。 PTH\PTT\Goldenチケット攻撃ツールがたくさんあるので、数を失いました。もちろん、これは、セキュリティとネットワークを大規模に管理および運用できることの間の無限の緊張です。絶対に必要でない場合は、DMZサーバーをドメインに追加せず、それらを外部エンティティとして扱い、ハード化し、それぞれに異なるパスワードセットを提供します。ネットワークへの接続のみを制限する必要なビジネスケースのために。

1
Igor Liv