В настоящее время мы переносим наши серверы в Azure. На данный момент мы успешно перенесли наш веб-сервер (IIS) и сервер базы данных (SQL Server). В следующем году наша компания расширит контроллер домена в облако с синхронизацией между локальной средой и Azure.
Однако, возможно ли присоединить 2 ВМ к Active Directory позднее, не столкнувшись с некоторыми конфликтами? Я знаю, что это может быть хлопотно на обычных рабочих столах, потому что вам нужно переключать профили и все такое. Ребята, вы видите какие-нибудь проблемы, с которыми мы можем столкнуться, или нам следует попытаться присоединить серверы как можно скорее?
Заранее спасибо!
решение1
Тл;Доктор
Так что это скорее ответ на вопрос безопасности, чем совместимости.
Краткое описание совместимости: если вы полагаетесь на аутентификацию пользователей AD, она не сработает, но если вы используете пользователей SQL и анонимную/какую-то локальную веб-аутентификацию, специальную для сайта, то вы сможете присоединиться, когда захотите.
С точки зрения безопасности централизация сокращает количество человеческих ошибок, технический долг, площадь поверхности для атак, а также повышает прозрачность, простоту использования и безопасность.
Безопасность
Если у вас есть серверы, присоединение их к центральной системе управления очень важно для простоты управления, централизации идентификации и слышимости.
Центральная идентичность
Наличие островов идентификации несет в себе риск для безопасности, поскольку, когда сотрудник уходит, вам придется вручную циклически обновлять/отключать учетные данные на каждом острове, что повышает риск сбоев (случайная ротация нецелевых учетных данных), забытой ротации (пропуск острова) и т. д.
Если вас взломали, злодей может обосноваться на одном острове и проводить атаки оттуда. После того, как злодей завладеет большим количеством островов, становится во много раз сложнее выгнать злоумышленника из множества поставщиков удостоверений. По сути, вам придется подойти к каждой машине и исследовать каждую отдельно как отдельную систему. Это очень сложный процесс, и злодеи могут воспользоваться тем, как долго требуется для расследования и устранения неполадок, чтобы вернуть себе контроль над системами, из которых их выгнали.
Централизация идентификации имеет решающее значение для организаций.
Аудит
Возможность аудита (собирания системных журналов) ваших систем также является чрезвычайно важным фактором безопасности. Без центральной системы управления этот критически важный шаг безопасности очень сложен.
Без возможности видеть, что происходит в вашей системе, вы не можете эффективно защитить ее, поскольку вы не можете видеть, что делают в ней плохие парни. Вы не можете их удалить, вы даже можете видеть их на своих компьютерах. Это на самом деле настолько плохо в отрасли, что в среднем требуется 1 год, прежде чем организация узнает, что они были скомпрометированы, И она далаСписок 10 лучших OWASP.
Управление
С точки зрения управляемости, неправильные конфигурации представляют собой огромный риск безопасности. Они настолько плохи, что сделалиСписок 10 лучших OWASP. Для снижения риска неправильной конфигурации централизация управления конфигурацией имеет решающее значение. Это снижает вероятность того, что человек допустит ошибку при настройке требуемых параметров или что параметр никогда не будет установлен. Централизованная система управления конфигурацией также упрощает отправку команд на конечные точки для устранения компрометации. Хороший механизм управления также может производить данные аудита (журналирование), чтобы обеспечить большую видимость того, что происходит в вашей среде.
Совместимость
Главное, на что следует обратить внимание, — это система аутентификации. Если вы используете Windows Server AD для аутентификации, у вас могут возникнуть проблемы. Если вы используете локальных пользователей SQL (небезопасно), то с совместимостью все должно быть в порядке.
Пока пространства имен, к которым вы присоедините машины, доступны, и ваши GPO не конфликтуют с необходимыми настройками веб-сервера и БД, все должно быть хорошо. С ограниченными знаниями среды нелегко найти крайние случаи. В общем, все должно быть хорошо.
Возможный пограничный случай:
если в вашем веб-приложении используются FQDN, присоединение домена к вашему компьютеру может изменить его FQDN.
Ссылки
- 10 лучших проектов OWASP -https://owasp.org/www-project-top-ten/
- 10 самых распространенных ошибок конфигурации OWASP -https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration
- OWASP Топ 10 Недостаточная видимость -https://owasp.org/www-project-top-ten/2017/A10_2017-Insufficient_Logging%2526Мониторинг