要約

Question

要約

したがって、これは互換性に関する答えというよりも、セキュリティに関する答えになります。

互換性について簡単に説明すると、AD ユーザー認証に依存している場合は互換性が失われますが、SQL ユーザーと匿名/サイト専用の何らかのローカル Web 認証を使用する場合は、いつでも参加できるはずです。

セキュリティ面では、集中化により人的ミス、技術的負債、攻撃対象領域が削減され、可視性、使いやすさ、セキュリティが向上します。

安全

サーバーがある場合、管理の容易さ、ID の集中化、可聴性のために、サーバーを中央管理システムに結合することが非常に重要です。

中心的なアイデンティティ

アイデンティティアイランドを持つことはセキュリティ上のリスクです。従業員が退職すると、各アイランドで資格情報を手動で切り替え/無効にする必要があり、これにより機能停止 (対象としない資格情報の偶発的なローテーション)、ローテーションの忘れ (アイランドの見逃し) などのリスクが増大します。

ハッキングされた場合、悪者は 1 つの島に留まり、そこから攻撃を仕掛けることができます。悪者がさらに多くの島を掌握すると、多数の ID プロバイダーから攻撃者を追い出すのが何倍も難しくなります。基本的に、すべてのマシンにアクセスし、それぞれを個別のシステムとして個別に調査する必要があります。これは非常に困難なプロセスであり、悪者は調査と修復にかかる時間を利用して、追い出されたシステムの制御を取り戻すことができます。

ID の集中化は組織にとって重要です。

監査

システムを監査する（システムログを収集する）機能も、セキュリティの重要な要素です。中央管理システムがなければ、この重要なセキュリティ手順は非常に困難です。
システムで何が起こっているかを確認できないと、悪意のある人物がシステムで何をしているのかがわからないため、システムを効果的に保護できません。彼らを追い出すことはできませんが、コンピュータ上で彼らを見ることさえできます。これは業界では非常に悪く、組織が侵入されたことに気付き、管理者に報告するまでに平均1年かかります。OWASP トップ 10 リスト。

管理

管理面では、誤った設定は大きなセキュリティリスクとなります。OWASP トップ 10 リスト構成ミスのリスクを減らすには、構成管理の集中化が重要です。これにより、必要な設定を人間が間違えたり、設定がまったく行われなかったりする可能性が減ります。また、集中構成管理システムにより、エンドポイントにコマンドをプッシュして、侵害を修正することも容易になります。優れた管理エンジンは、監査データ (ログ) を生成して、環境で何が起こっているかをより詳細に把握することもできます。

互換性

主に注意すべき点は認証システムです。認証に Windows Server AD を使用する場合は問題が発生する可能性がありますが、SQL ローカルユーザー (安全でない) を使用する場合は互換性の面で問題はありません。

マシンを参加させる名前空間が使用可能であり、GPO が必要な Web サーバーおよび DB 設定と競合しない限り、問題はありません。環境に関する知識が限られているため、エッジケースを見つけるのは簡単ではありません。一般的に言えば、問題はありません。

潜在的なエッジケース:
Web アプリに FQDN の機能がある場合、マシンにドメインを参加させると FQDN が変更される可能性があります。

リンク

OWASP トップ 10 プロジェクト -https://owasp.org/www-project-top-ten/
OWASP トップ10 の誤った設定 -https://owasp.org/www-project-top-ten/2017/A6_2017-セキュリティ_ミス構成
OWASP トップ 10 十分な可視性がない -https://owasp.org/www-project-top-ten/2017/A10_2017-Insufficient_Logging%2526モニタリング

Answer 1

要約

したがって、これは互換性に関する答えというよりも、セキュリティに関する答えになります。

互換性について簡単に説明すると、AD ユーザー認証に依存している場合は互換性が失われますが、SQL ユーザーと匿名/サイト専用の何らかのローカル Web 認証を使用する場合は、いつでも参加できるはずです。

セキュリティ面では、集中化により人的ミス、技術的負債、攻撃対象領域が削減され、可視性、使いやすさ、セキュリティが向上します。

安全

サーバーがある場合、管理の容易さ、ID の集中化、可聴性のために、サーバーを中央管理システムに結合することが非常に重要です。

中心的なアイデンティティ

アイデンティティアイランドを持つことはセキュリティ上のリスクです。従業員が退職すると、各アイランドで資格情報を手動で切り替え/無効にする必要があり、これにより機能停止 (対象としない資格情報の偶発的なローテーション)、ローテーションの忘れ (アイランドの見逃し) などのリスクが増大します。

ハッキングされた場合、悪者は 1 つの島に留まり、そこから攻撃を仕掛けることができます。悪者がさらに多くの島を掌握すると、多数の ID プロバイダーから攻撃者を追い出すのが何倍も難しくなります。基本的に、すべてのマシンにアクセスし、それぞれを個別のシステムとして個別に調査する必要があります。これは非常に困難なプロセスであり、悪者は調査と修復にかかる時間を利用して、追い出されたシステムの制御を取り戻すことができます。

ID の集中化は組織にとって重要です。

監査

システムを監査する（システムログを収集する）機能も、セキュリティの重要な要素です。中央管理システムがなければ、この重要なセキュリティ手順は非常に困難です。
システムで何が起こっているかを確認できないと、悪意のある人物がシステムで何をしているのかがわからないため、システムを効果的に保護できません。彼らを追い出すことはできませんが、コンピュータ上で彼らを見ることさえできます。これは業界では非常に悪く、組織が侵入されたことに気付き、管理者に報告するまでに平均1年かかります。OWASP トップ 10 リスト。

管理

管理面では、誤った設定は大きなセキュリティリスクとなります。OWASP トップ 10 リスト構成ミスのリスクを減らすには、構成管理の集中化が重要です。これにより、必要な設定を人間が間違えたり、設定がまったく行われなかったりする可能性が減ります。また、集中構成管理システムにより、エンドポイントにコマンドをプッシュして、侵害を修正することも容易になります。優れた管理エンジンは、監査データ (ログ) を生成して、環境で何が起こっているかをより詳細に把握することもできます。

互換性

主に注意すべき点は認証システムです。認証に Windows Server AD を使用する場合は問題が発生する可能性がありますが、SQL ローカルユーザー (安全でない) を使用する場合は互換性の面で問題はありません。

マシンを参加させる名前空間が使用可能であり、GPO が必要な Web サーバーおよび DB 設定と競合しない限り、問題はありません。環境に関する知識が限られているため、エッジケースを見つけるのは簡単ではありません。一般的に言えば、問題はありません。

潜在的なエッジケース:
Web アプリに FQDN の機能がある場合、マシンにドメインを参加させると FQDN が変更される可能性があります。

リンク

OWASP トップ 10 プロジェクト -https://owasp.org/www-project-top-ten/
OWASP トップ10 の誤った設定 -https://owasp.org/www-project-top-ten/2017/A6_2017-セキュリティ_ミス構成
OWASP トップ 10 十分な可視性がない -https://owasp.org/www-project-top-ten/2017/A10_2017-Insufficient_Logging%2526モニタリング

要約

答え1

要約

安全

中心的なアイデンティティ

監査

管理

互換性

リンク

関連情報