我正在考慮作為開發人員/IT 技術人員做一些線上項目,並且我對安全性有一些擔憂。
我無法在本地為我的專案託管伺服器,我想為什麼不使用像 Hetzner 這樣的託管服務商在資料中心託管伺服器。我的計劃還在其中一台伺服器上託管一個活動目錄伺服器,並將其他伺服器加入該網域,以便更好地管理我的所有裝置(GPO、使用者、群組等)。
但是當擁有 AD DC 時,我還需要一個 DNS 伺服器。所有這些伺服器都對其他伺服器發揮重要作用,但它們透過遞歸 DNS、DDoS 機會等暴露在公眾面前。
我的問題是:我該如何從安全角度處理這個問題?有什麼方法可以正確地路由它們/將它們相互連接嗎?
老實說,我是一名處於學徒期的 IT 技術人員,而且我還有很多年的時間。所以我才問這個問題,為了獲得更多經驗。我只是有一些東西不是她
答案1
如果您想將網域控制器放入遠端資料中心,那麼您也應該在您的辦公室和資料中心的遠端網路之間建立網站到站點 VPN。絕不應該將網域控制器暴露給 Internet!
話雖這麼說,所提到的設定現在幾乎是遺留的。現代方法是避免使用 Active Directory 和 VPN,並使用基於雲端的工具實現裝置管理,例如 Azure Active Directory 和 Intune(或其他 MDM,而不是 Intune)。
決定採取哪條路徑取決於您的預算、當前基礎設施以及其他技術和業務要求