我們目前正在將伺服器遷移到 Azure。到目前為止,我們已經成功遷移了我們的Web伺服器(IIS)和資料庫伺服器(SQL Server)。明年,我們公司將把網域控制器擴展到雲端中,並在本地和 Azure 之間進行同步。
但是,是否可以稍後將 2 個虛擬機器加入活動目錄而不會遇到一些衝突?我知道這在普通桌面上可能會很麻煩,因為您需要切換設定檔和其他內容。你們能看到我們可能面臨的任何問題嗎?
先致謝!
答案1
塔爾;博士
因此,這更像是一個安全答案,而不是相容性答案。
相容性的快速總結是,如果您依賴 AD 使用者身份驗證,這將會中斷,但如果您使用 SQL 使用者和匿名/某種特定於該網站的本機 Web 驗證,那麼您應該可以隨時加入。
在安全方面;集中化減少了人為錯誤、技術債、攻擊面,並提高了可見度、易用性和安全性。
安全
如果您有伺服器,將它們加入中央管理系統對於簡化管理、集中身分和可聽性非常重要。
中心身份
擁有身份孤島是一種安全風險,因為當員工離開時,您需要在每個孤島上手動循環/禁用憑證,這會增加中斷(意外輪換非目標憑證)、忘記輪換(錯過孤島)和更多的。
如果您遭到駭客攻擊,壞人可以在一個島嶼上閒逛並從那裡發動攻擊。當壞人控制了更多島嶼後,將攻擊者從眾多身分提供者中驅逐出去就變得更加困難。您基本上必須訪問每台機器,並將每台機器作為單獨的系統進行單獨調查。這是一個非常困難的過程,壞人可以利用調查和修復所需的時間來重新獲得對他們被驅逐的系統的控制權。
身分集中化對於組織來說至關重要。
審計
審核(收集系統日誌)系統的能力也是一個非常重要的安全因素。如果沒有中央管理系統,這個關鍵的安全步驟將非常困難。
如果無法查看系統上發生的情況,您將無法有效地保護系統,因為您無法看到壞人在系統上做了什麼。您無法彈出它們,甚至可以在計算機上看到它們。這在行業中實際上非常糟糕,以至於組織平均需要一年的時間才能發現他們已受到損害,並要求他們採取行動。OWASP 前 10 名名單。
管理
在可管理性方面,錯誤配置是一個巨大的安全風險。他們太糟糕了,以至於他們已經做出了OWASP 前 10 名名單。為了降低錯誤配置的風險,配置管理的集中化至關重要。它減少了人們在配置所需設定時犯錯或永遠不會設定該設定的可能性。中央配置管理系統還可以更輕鬆地將命令推送到端點以修復漏洞。良好的管理引擎還可以產生審核資料(日誌記錄),以便更清楚地了解環境中發生的情況。
相容性
需要注意的主要事情是身份驗證系統,如果您使用 Windows Server AD 進行身份驗證,則可能會遇到問題,如果您使用 SQL 本機使用者(不安全),那麼在相容性方面應該沒問題。
只要您要加入電腦的命名空間可用,並且您的 GPO 不與所需的 Web 伺服器和資料庫設定衝突,您應該就可以了。由於環境知識有限,要找到邊緣情況並不容易。一般來說,你應該可以開始了。
潛在的邊緣情況:
如果您的 Web 應用程式中有 FQDN,加入您電腦的網域可能會變更其 FQDN。