Tl;Dr

Tl;Dr

Wir migrieren derzeit unsere Server nach Azure. Bis jetzt haben wir unseren Webserver (IIS) und unseren Datenbankserver (SQL Server) erfolgreich migriert. Nächstes Jahr wird unser Unternehmen den Domänencontroller in die Cloud erweitern und eine Synchronisierung zwischen On-Premise und Azure durchführen.

Ist es jedoch möglich, die beiden VMs zu einem späteren Zeitpunkt dem Active Directory hinzuzufügen, ohne dass es zu Konflikten kommt? Ich weiß, dass dies auf normalen Desktops mühsam sein kann, da man Profile und dergleichen wechseln muss. Können Sie sich irgendwelche Probleme vorstellen, auf die wir möglicherweise stoßen könnten, oder sollten wir versuchen, die Server so schnell wie möglich hinzuzufügen?

Dank im Voraus!

Antwort1

Tl;Dr


Es handelt sich hierbei also eher um eine Sicherheits- als um eine Kompatibilitätsantwort.

Kurz zusammengefasst: Wenn Sie sich auf die AD-Benutzerauthentifizierung verlassen, funktioniert die Kompatibilität nicht. Wenn Sie jedoch SQL-Benutzer und eine anonyme bzw. eine Art lokale Webauthentifizierung speziell für die Site verwenden, sollten Sie sich problemlos anmelden können, wann immer Sie wollen.

Was die Sicherheit betrifft, verringert die Zentralisierung menschliche Fehler, technische Schulden und Angriffsflächen und verbessert die Transparenz, Benutzerfreundlichkeit und Sicherheit.

Sicherheit


Wenn Sie über Server verfügen, ist deren Anschluss an ein zentrales Verwaltungssystem für eine einfache Verwaltung, Zentralisierung der Identität und Hörbarkeit von großer Bedeutung.

Zentrale Identität

Identitätsinseln stellen ein Sicherheitsrisiko dar, denn wenn ein Mitarbeiter das Unternehmen verlässt, müssen Sie die Anmeldeinformationen auf jeder Insel manuell wechseln/deaktivieren. Dadurch erhöht sich das Risiko von Ausfällen (akute Rotation nicht zielgerichteter Anmeldeinformationen), vergessener Rotation (eine Insel verpasst) und mehr.

Wenn Sie gehackt werden, kann sich der Bösewicht auf einer einzigen Insel aufhalten und von dort aus Angriffe starten. Nachdem der Bösewicht weitere Inseln erobert hat, wird es viel schwieriger, den Angreifer von den vielen Identitätsanbietern zu entfernen. Sie müssten im Wesentlichen zu jeder Maschine gehen und jede einzeln als separates System untersuchen. Dies ist ein sehr schwieriger Prozess und Bösewichte können die lange Untersuchungs- und Abhilfezeit ausnutzen, um die Kontrolle über die Systeme zurückzuerlangen, von denen sie entfernt wurden.

Die Zentralisierung der Identität ist für Unternehmen von entscheidender Bedeutung.

Prüfung

Die Möglichkeit, Ihre Systeme zu prüfen (Systemprotokolle zu sammeln), ist ebenfalls ein äußerst wichtiger Sicherheitsfaktor. Ohne ein zentrales Verwaltungssystem ist dieser kritische Sicherheitsschritt sehr schwierig.
Ohne die Möglichkeit zu sehen, was auf Ihrem System passiert, können Sie es nicht effektiv schützen, da Sie nicht sehen können, was die Bösewichte darauf tun. Sie können sie nicht auswerfen, Sie können sie sogar auf Ihren Computern sehen. Dies ist in der Branche tatsächlich so schlimm, dass es im Durchschnitt ein Jahr dauert, bis eine Organisation herausfindet, dass sie kompromittiert wurde UND es dieOWASP Top 10 Liste.

Management

Was die Verwaltbarkeit betrifft, stellen Fehlkonfigurationen ein großes Sicherheitsrisiko dar. Sie sind so schlimm, dass sieOWASP Top 10 Liste. Um das Risiko von Fehlkonfigurationen zu verringern, ist die Zentralisierung des Konfigurationsmanagements von entscheidender Bedeutung. Dadurch wird die Wahrscheinlichkeit verringert, dass ein Mensch beim Konfigurieren der erforderlichen Einstellungen einen Fehler macht oder dass die Einstellung nie festgelegt wird. Ein zentrales Konfigurationsmanagementsystem erleichtert auch das Senden von Befehlen an Endpunkte, um Kompromittierungen zu beheben. Eine gute Management-Engine kann auch Prüfdaten (Protokollierung) erstellen, um mehr Einblick in das Geschehen in Ihrer Umgebung zu geben.

Kompatibilität


Achten Sie vor allem auf das Authentifizierungssystem. Wenn Sie Windows Server AD zur Authentifizierung verwenden, können möglicherweise Probleme auftreten. Wenn Sie SQL Local-Benutzer (unsicher) verwenden, sollte die Kompatibilität problemlos gewährleistet sein.

Solange die Namespaces, denen Sie die Maschinen hinzufügen, verfügbar sind und Ihre GPOs nicht mit den erforderlichen Webserver- und DB-Einstellungen in Konflikt geraten, sollte alles gut gehen. Mit begrenzten Umgebungskenntnissen ist es nicht einfach, Sonderfälle zu finden. Generell sollte alles gut gehen.

Möglicher Sonderfall:
Wenn Ihre Web-App über einen ausgefallenen FQDN verfügt, kann sich durch den Domänenbeitritt Ihres Computers dessen FQDN ändern.

Links


verwandte Informationen