Dalam hal keamanan dan pengelolaan - Apa praktik terbaik?
Haruskah server web
- Ditambahkan dan dikelola dari domain Direktori Aktif
atau
- Jadilah bagian dari kelompok kerja 'server web' yang terpisah dari direktori aktif 'server sumber'?
Tidak ada persyaratan untuk ada akun pengguna di server web, hanya akun manajemen (manajemen server, pelaporan sistem, penyebaran konten, dll.)
iis
active-directory
web-server
windows
David Christiansen
sumber
sumber
Jawaban:
Jika Anda ingin menggunakan delegasi Kerberos untuk membangun infrastruktur yang aman (dan ANDA MELAKUKAN), Anda harus bergabung dengan server Web tersebut ke domain. Server web (atau akun layanan) akan membutuhkan kemampuan untuk mendelegasikan yang ditugaskan untuk memungkinkan peniruan pengguna terhadap server SQL Anda.
Anda mungkin ingin menghindari menggunakan otentikasi berbasis SQL pada server SQL jika Anda memiliki persyaratan audit atau wajib untuk melacak akses data (HIPAA, SOX, dll.) Anda harus melacak akses melalui proses penyediaan Anda (yaitu siapa yang ada dalam kelompok apa, bagaimana hal itu disetujui, dan oleh siapa) dan semua akses ke data harus melalui akun yang ditugaskan pengguna.
Untuk masalah DMZ terkait dengan mengakses AD , Anda dapat menyelesaikannya dengan Server 2008 menggunakan Read-Only DC (RODC) tetapi masih ada risiko dengan menggunakan DMZ. Ada juga beberapa cara untuk memaksa DC menggunakan port spesifik untuk menembus firewall, tetapi jenis cutomization ini dapat mempersulit masalah otentikasi.
Jika Anda memiliki kebutuhan khusus untuk memungkinkan pengguna Internet dan Intranet mengakses aplikasi yang sama, Anda mungkin perlu melihat ke dalam menggunakan salah satu produk Layanan Federeated, baik penawaran Microsoft atau sesuatu seperti Ping Federated.
sumber
Penggunaan internal, tentu saja. Dengan begitu mereka dikelola oleh GPO, menambal tidak sesulit, dan pemantauan dapat dilakukan tanpa banyak solusi.
Di DMZ, umumnya saya menyarankan tidak, mereka tidak boleh berada di DMZ. Jika mereka berada di domain dan di DMZ, masalah yang Anda hadapi adalah bahwa server web harus memiliki konektivitas tertentu kembali ke setidaknya satu DC. Oleh karena itu, jika penyerang eksternal membahayakan server web, ia sekarang dapat langsung meluncurkan serangan terhadap salah satu DC. Miliki DC, milik domain. Memiliki domain, memiliki hutan.
sumber
Mengapa tidak memiliki Domain Webserver di DMZ?
Itu bisa berupa hutan terpisah dengan hubungan kepercayaan satu arah untuk mengelola domain dari domain utama Anda tanpa memberikan izin apa pun ke domain WS untuk domain utama Anda.
Semua kesenangan AD / WSUS / GPO - terutama berguna jika Anda memiliki seluruh pertaniannya - dan jika kompromi itu bukan jaringan utama Anda.
sumber
Jika server web berada di jaringan yang sama dengan Pengontrol Domain, maka saya pasti akan menambahkannya ke domain - karena ini jelas menambah banyak kemudahan pengelolaan. Namun, saya biasanya berusaha keras untuk menempatkan server web dalam DMZ untuk meningkatkan keamanan - yang membuat akses ke domain tidak mungkin tanpa lubang kecil (dan itu ide yang sangat buruk!)
sumber
Seperti orang lain telah disebutkan, jika ini adalah menghadapi publik dan tidak memerlukan otentikasi pengguna terhadap direktori, maka jangan tidak menempatkan mereka dalam domain.
Namun, jika Anda memerlukan semacam otentikasi atau pencarian informasi dari AD, lihatlah kemungkinan menjalankan Mode Aplikasi Direktori Aktif ( ADAM ) di DMZ. Anda mungkin perlu mereplikasi informasi relavent dari AD ke dalam Applicaton Partition karena ADAM tidak mensinkronisasi partisi AD standar.
Jika Anda hanya mencari fitur manajemen, ADAM tidak berlaku.
sumber