現在、サーバーを Azure に移行中です。現時点では、Web サーバー (IIS) とデータベース サーバー (SQL Server) の移行は完了しています。来年、当社はオンプレミスと Azure 間の同期を使用して、ドメイン コントローラーをクラウドに拡張する予定です。
しかし、競合に直面することなく、後で 2 つの VM をアクティブ ディレクトリに参加させることは可能ですか? プロファイルなどを切り替える必要があるため、通常のデスクトップでは面倒な場合があることは承知しています。 皆さんは、私たちが直面する可能性のある問題を認識していますか? それとも、できるだけ早くサーバーに参加してみるべきでしょうか?
前もって感謝します!
答え1
要約
したがって、これは互換性に関する答えというよりも、セキュリティに関する答えになります。
互換性について簡単に説明すると、AD ユーザー認証に依存している場合は互換性が失われますが、SQL ユーザーと匿名/サイト専用の何らかのローカル Web 認証を使用する場合は、いつでも参加できるはずです。
セキュリティ面では、集中化により人的ミス、技術的負債、攻撃対象領域が削減され、可視性、使いやすさ、セキュリティが向上します。
安全
サーバーがある場合、管理の容易さ、ID の集中化、可聴性のために、サーバーを中央管理システムに結合することが非常に重要です。
中心的なアイデンティティ
アイデンティティ アイランドを持つことはセキュリティ上のリスクです。従業員が退職すると、各アイランドで資格情報を手動で切り替え/無効にする必要があり、これにより機能停止 (対象としない資格情報の偶発的なローテーション)、ローテーションの忘れ (アイランドの見逃し) などのリスクが増大します。
ハッキングされた場合、悪者は 1 つの島に留まり、そこから攻撃を仕掛けることができます。悪者がさらに多くの島を掌握すると、多数の ID プロバイダーから攻撃者を追い出すのが何倍も難しくなります。基本的に、すべてのマシンにアクセスし、それぞれを個別のシステムとして個別に調査する必要があります。これは非常に困難なプロセスであり、悪者は調査と修復にかかる時間を利用して、追い出されたシステムの制御を取り戻すことができます。
ID の集中化は組織にとって重要です。
監査
システムを監査する(システムログを収集する)機能も、セキュリティの重要な要素です。中央管理システムがなければ、この重要なセキュリティ手順は非常に困難です。
システムで何が起こっているかを確認できないと、悪意のある人物がシステムで何をしているのかがわからないため、システムを効果的に保護できません。彼らを追い出すことはできませんが、コンピュータ上で彼らを見ることさえできます。これは業界では非常に悪く、組織が侵入されたことに気付き、管理者に報告するまでに平均1年かかります。OWASP トップ 10 リスト。
管理
管理面では、誤った設定は大きなセキュリティリスクとなります。OWASP トップ 10 リスト構成ミスのリスクを減らすには、構成管理の集中化が重要です。これにより、必要な設定を人間が間違えたり、設定がまったく行われなかったりする可能性が減ります。また、集中構成管理システムにより、エンドポイントにコマンドをプッシュして、侵害を修正することも容易になります。優れた管理エンジンは、監査データ (ログ) を生成して、環境で何が起こっているかをより詳細に把握することもできます。
互換性
主に注意すべき点は認証システムです。認証に Windows Server AD を使用する場合は問題が発生する可能性がありますが、SQL ローカル ユーザー (安全でない) を使用する場合は互換性の面で問題はありません。
マシンを参加させる名前空間が使用可能であり、GPO が必要な Web サーバーおよび DB 設定と競合しない限り、問題はありません。環境に関する知識が限られているため、エッジ ケースを見つけるのは簡単ではありません。一般的に言えば、問題はありません。
潜在的なエッジケース:
Web アプリに FQDN の機能がある場合、マシンにドメインを参加させると FQDN が変更される可能性があります。
リンク
- OWASP トップ 10 プロジェクト -https://owasp.org/www-project-top-ten/
- OWASP トップ10 の誤った設定 -https://owasp.org/www-project-top-ten/2017/A6_2017-セキュリティ_ミス構成
- OWASP トップ 10 十分な可視性がない -https://owasp.org/www-project-top-ten/2017/A10_2017-Insufficient_Logging%2526モニタリング