현재 서버를 Azure로 마이그레이션하고 있습니다. 현재 웹 서버(IIS)와 데이터베이스 서버(SQL Server)를 성공적으로 마이그레이션했습니다. 내년에 우리 회사는 온프레미스와 Azure 간의 동기화를 통해 도메인 컨트롤러를 클라우드로 확장할 예정입니다.
그러나 나중에 충돌 없이 2개의 VM을 Active Directory에 조인할 수 있습니까? 프로필 등을 전환해야 하기 때문에 일반 데스크톱에서는 번거로울 수 있다는 것을 알고 있습니다. 우리가 직면할 수 있는 문제를 보시겠습니까, 아니면 가능한 한 빨리 서버에 참여해야 합니까?
미리 감사드립니다!
답변1
Tl;Dr
따라서 이것은 호환성 답변보다 보안 답변에 더 가깝습니다.
호환성에 대한 간략한 요약은 깨지기 쉬운 AD 사용자 인증에 의존하지만 SQL 사용자 및 사이트에 대한 익명/일종의 로컬 웹 인증을 사용하는 경우 원할 때마다 가입해도 괜찮다는 것입니다.
보안 측면에서; 중앙 집중화는 인간의 실수, 기술적 부채, 공격 노출 영역을 줄이고 가시성, 사용 편의성 및 보안을 향상시킵니다.
보안
서버가 있는 경우 관리 용이성, ID 중앙 집중화 및 가청성을 위해 서버를 중앙 관리 시스템에 연결하는 것이 매우 중요합니다.
중심 정체성
ID 아일랜드를 갖는 것은 보안 위험이 있습니다. 왜냐하면 직원이 떠날 때 각 아일랜드에서 수동으로 자격 증명을 순환/비활성화해야 하기 때문입니다. 이로 인해 가동 중단(비대상 자격 증명의 인증 순환), 순환 잊어버리기(아일랜드 누락) 및 위험이 증가합니다. 더.
해킹당하면 악의적인 사람이 단일 섬에 머물면서 그곳에서 공격을 가할 수 있습니다. 악당이 더 많은 섬을 장악한 후에는 많은 ID 제공자로부터 공격자를 쫓아내는 것이 몇 배 더 어려워집니다. 기본적으로 모든 시스템을 방문하여 각각을 별도의 시스템으로 조사해야 합니다. 이는 매우 어려운 프로세스이며, 공격자는 자신이 퇴출된 시스템에 대한 통제권을 되찾기 위해 조사하고 교정하는 데 걸리는 시간을 활용할 수 있습니다.
ID 중앙 집중화는 조직에 매우 중요합니다.
심사
시스템을 감사(시스템 로그 수집)하는 기능도 매우 중요한 보안 요소입니다. 중앙 관리 시스템이 없으면 이 중요한 보안 단계는 매우 어렵습니다.
시스템에서 무슨 일이 일어나고 있는지 볼 수 있는 능력이 없으면 악의적인 사람이 시스템에서 무엇을 하고 있는지 볼 수 없기 때문에 시스템을 효과적으로 보호할 수 없습니다. 해당 파일은 꺼낼 수 없으며 컴퓨터에서도 볼 수 있습니다. 이는 실제로 업계에서 매우 나쁜 일이므로 조직이 자신이 손상되었다는 사실을 알게 되기까지 평균 1년이 걸리고 해당 조치를 취해야 합니다.OWASP 상위 10개 목록.
관리
관리 효율성 측면에서 잘못된 구성은 엄청난 보안 위험을 초래합니다. 그들은 너무 나빠서 그 일을 해냈습니다.OWASP 상위 10개 목록. 잘못된 구성의 위험을 줄이려면 구성 관리를 중앙 집중화하는 것이 중요합니다. 이는 필요한 설정을 구성할 때 사람이 실수를 하거나 설정이 절대 설정되지 않을 가능성을 줄여줍니다. 또한 중앙 구성 관리 시스템을 사용하면 명령을 엔드포인트에 푸시하여 손상을 해결하는 것이 더 쉬워집니다. 좋은 관리 엔진은 감사 데이터(로깅)를 생성하여 환경에서 발생하는 상황에 대한 더 많은 가시성을 제공할 수도 있습니다.
호환성
주의해야 할 주요 사항은 인증 시스템입니다. Windows Server AD를 사용하여 인증하는 경우 문제가 발생할 수 있습니다. SQL 로컬 사용자(안전하지 않음)를 사용하는 경우 호환성 측면에서는 괜찮을 것입니다.
머신을 조인할 네임스페이스를 사용할 수 있고 GPO가 필요한 웹 서버 및 DB 설정과 충돌하지 않는 한 괜찮습니다. 제한된 환경 지식으로 인해 극단적인 사례를 찾는 것은 쉽지 않습니다. 일반적으로 말하자면, 가보는 것이 좋을 것입니다.
잠재적인 극단적인 경우:
웹 앱에 FQDN 기능이 있는 경우 컴퓨터에 가입하는 도메인이 FQDN을 변경할 수 있습니다.
연결
- OWASP Top 10 프로젝트 -https://owasp.org/www-project-top-ten/
- OWASP 상위 10가지 구성 오류 -https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration
- OWASP 상위 10개 가시성이 충분하지 않음 -https://owasp.org/www-project-top-ten/2017/A10_2017-Insufficient_Logging%2526Monitoring