Dr.

Dr.

Actualmente estamos migrando nuestros servidores a Azure. Hasta ahora, hemos migrado con éxito nuestro servidor web (IIS) y nuestro servidor de base de datos (SQL Server). El año que viene nuestra empresa ampliará el controlador de dominio a la nube con sincronización entre el entorno local y Azure.

Sin embargo, ¿es posible unir las 2 máquinas virtuales al directorio activo más adelante sin enfrentar algunos conflictos? Sé que puede ser una molestia en computadoras de escritorio normales porque necesitas cambiar de perfil y esas cosas. ¿Verían algún problema que podamos enfrentar o deberíamos intentar unirnos a los servidores lo antes posible?

¡Gracias de antemano!

Respuesta1

Dr.


Entonces esto resulta ser más una respuesta de seguridad que una respuesta de compatibilidad.

El resumen rápido de la compatibilidad es que si confía en la autenticación de usuario de AD, eso se romperá, pero si usa usuarios de SQL y algún tipo de autenticación web local anónima o especial para el sitio, entonces debería poder unirse cuando lo desee.

En el lado de la seguridad; la centralización reduce los errores humanos, la deuda técnica, la superficie de ataque y aumenta la visibilidad, la facilidad de uso y la seguridad.

Seguridad


Si tiene servidores, unirlos a un sistema de administración central es muy importante para facilitar la administración, centralizar la identidad y la audibilidad.

Identidad central

Tener islas de identidad es un riesgo de seguridad, porque cuando un empleado se va, necesitará alternar/deshabilitar las credenciales manualmente en cada isla, esto aumenta los riesgos de interrupciones (rotación acuidencial de credenciales no específicas), rotación olvidada (perdida de una isla) y más.

Si te piratean, el malo puede permanecer en una sola isla y realizar ataques desde allí. Una vez que el malo se apodera de más islas, se vuelve mucho más difícil expulsar al atacante de los numerosos proveedores de identidad. Básicamente, tendría que ir a cada máquina e investigar cada una por separado como un sistema separado. Este es un proceso muy difícil y los delincuentes pueden aprovechar el tiempo que lleva investigar y remediar para recuperar el control de los sistemas de los que han sido expulsados.

La centralización de la identidad es fundamental para las organizaciones.

Auditoría

La capacidad de auditar (recopilar registros del sistema) sus sistemas también es un factor de seguridad muy importante. Sin un sistema de gestión central, este paso crítico de seguridad es muy difícil.
Sin la capacidad de ver lo que está sucediendo en su sistema le impide protegerlo de manera efectiva, ya que no puede ver qué están haciendo los malos en él. No puedes expulsarlos, incluso puedes verlos en tus computadoras. En realidad, esto es tan malo en la industria que toma en promedio 1 año antes de que una organización descubra que ha sido comprometida Y ha informado a la empresa.Lista de los 10 mejores de OWASP.

Gestión

En lo que respecta a la capacidad de gestión, las configuraciones erróneas suponen un enorme riesgo para la seguridad. Son tan malos que han hecho elLista de los 10 mejores de OWASP. Para reducir el riesgo de configuraciones erróneas, la centralización de la gestión de la configuración es fundamental. Reduce la posibilidad de que un humano cometa un error al configurar los ajustes requeridos o que la configuración nunca se establezca. Un sistema de gestión de configuración central también facilita la envío de comandos a los puntos finales para solucionar compromisos. Un buen motor de gestión también puede producir datos de auditoría (registro) para dar más visibilidad a lo que sucede en su entorno.

Compatibilidad


Lo principal a tener en cuenta es el sistema de autenticación; si usa Windows Server AD para autenticarse, puede tener problemas; si usa usuarios locales de SQL (inseguros), entonces debería estar bien en el lado de la compatibilidad.

Siempre que los espacios de nombres a los que unirá las máquinas estén disponibles y sus GPO no entren en conflicto con el servidor web necesario y la configuración de la base de datos, debería estar bien. Con un conocimiento limitado del entorno, no es fácil encontrar casos extremos. En términos generales, debería estar listo para comenzar.

Posible caso límite:
si tiene un FQDN sofisticado en su aplicación web, el dominio que se une a su máquina puede cambiar su FQDN.

Enlaces


información relacionada