Servidores de Windows en DMZ: ¿se administran a través de AD o de forma independiente?

1

Desde un punto de vista de seguridad, ¿tiene sentido conectar los servidores de Windows que se ejecutan dentro de la DMZ y deben ser accesibles desde la Web a la AD (que se ejecuta dentro de la red central)? ¿O más bien administrarlos por un DMZ AD o simplemente independiente?

Según tengo entendido, es un riesgo de seguridad dejar los puertos abiertos hacia la red central, pero ¿puede haber una demanda de una solución adecuada cuando se trata de administrar entornos a gran escala? ¿Hay otros enfoques por ahí como, por ejemplo, ¿Colocándolos en AWS / Azure y administrando a través de un Cloud AD separado de la red?

    
pregunta user178620 28.08.2018 - 00:56
fuente

2 respuestas

1

Tu razonamiento es exactamente correcto.

Los servidores DMZ que se unen a su dominio interno son un riesgo que debe evitarse. Por lo general, la mejor opción es un dominio de Active Directory separado para su DMZ o ejecutar cada servidor de forma independiente.

Un entorno pequeño puede estar bien con una versión independiente, pero más allá de una docena de servidores, o con un equipo más numeroso, un dominio separado puede ser más fácil de administrar. Es posible que exista una confianza entre su dominio DMZ y el dominio interno, pero debe administrarse con cuidado.

Siempre tendrá la necesidad de conectar partes de su DMZ a su red interna (servidores proxy, por ejemplo), pero siempre debe ser estrictamente como sea necesario. Además, si su DMZ se ve comprometida y alguien puede robar las credenciales de un Administrador de DMZ, no tendrá acceso automáticamente a su dominio interno.

    
respondido por el Stephen Sennett 28.08.2018 - 01:18
fuente
0

De acuerdo con lo que se ha dicho, intentaré dar un poco de una opinión diferente. AD es un riesgo de seguridad independientemente de donde se usa. La cantidad de tiempo que generalmente toma un adversario para obtener el control de una red completa generalmente se reduce drásticamente cuando hay un AD en su lugar. Hay tantas herramientas de ataque de boletos PTH \ PTT \ Golden por ahí que perdí la cuenta. Por supuesto, esta es la tensión sin fin entre la seguridad y la capacidad de administrar y operar una red a escala. Si no es absolutamente necesario, no agregaría los servidores DMZ a ningún dominio y los trataría como entidades externas, fortaleciéndolos y proporcionando un conjunto de contraseñas diferente para cada uno. Limitar la conectividad a la red solo para el caso de negocio necesario.

    
respondido por el Igor Liv 24.09.2018 - 15:44
fuente

Lea otras preguntas en las etiquetas