IT správca môže uzamknúť DMZ z externej perspektívy, ale nedokáže poskytnúť túto úroveň zabezpečenia prístupu do DMZ z internej perspektívy, pretože budete musieť pristupovať, spravovať a monitorovať tieto systémy aj v rámci DMZ, ale o niečo iným spôsobom ako pri systémoch vo vašej internej sieti LAN. V tomto príspevku budeme diskutovať o odporúčaniach spoločnosti Microsoft Osvedčené postupy pre radič domény DMZ .
Čo je radič domény DMZ?
V počítačovej bezpečnosti je DMZ alebo demilitarizovaná zóna fyzická alebo logická podsieť, ktorá obsahuje a vystavuje externé služby organizácie väčšej a nedôveryhodnej sieti, zvyčajne internetu. Účelom DMZ je pridať ďalšiu vrstvu zabezpečenia do siete LAN organizácie; externý sieťový uzol má priamy prístup len k systémom v DMZ a je izolovaný od akejkoľvek inej časti siete. V ideálnom prípade by v DMZ nikdy nemal sedieť radič domény, ktorý by pomáhal s autentifikáciou do týchto systémov. Akékoľvek informácie, ktoré sa považujú za citlivé, najmä interné údaje, by sa nemali uchovávať v DMZ alebo by sa na ne nemali spoliehať systémy DMZ.
Osvedčené postupy pre radič domény DMZ
Tím Active Directory v spoločnosti Microsoft sprístupnil a dokumentáciu s najlepšími postupmi pre spustenie AD v DMZ. Sprievodca obsahuje nasledujúce modely AD pre obvodovú sieť:
- Žiadny Active Directory (miestne účty)
- Izolovaný model lesa
- Rozšírený model podnikového lesa
- Model lesnej dôvery
Sprievodca obsahuje smer na určenie, či Active Directory Domain Services (AD DS) je vhodný pre vašu obvodovú sieť (známu aj ako DMZ alebo extranety), rôzne modely nasadenia služby AD DS v obvodových sieťach a informácie o plánovaní a nasadení pre radiče domény iba na čítanie (RODC) v obvodovej sieti. Pretože RODC poskytujú nové možnosti pre obvodové siete, väčšina obsahu tejto príručky popisuje plánovanie a nasadenie tejto funkcie systému Windows Server 2008. Ostatné modely služby Active Directory uvedené v tejto príručke sú však tiež životaschopnými riešeniami pre vašu obvodovú sieť.
To je všetko!
Stručne povedané, prístup do DMZ z internej perspektívy by mal byť čo najtesnejšie uzamknutý. Sú to systémy, ktoré môžu potenciálne uchovávať citlivé údaje alebo mať prístup k iným systémom, ktoré majú citlivé údaje. Ak je DMZ server ohrozený a interná LAN je široko otvorená, útočníci sa zrazu dostanú do vašej siete.
Čítajte ďalej : Overenie predpokladov na propagáciu radiča domény zlyhalo
Mal by byť radič domény v DMZ?
Neodporúča sa to, pretože radiče domény vystavujete určitému riziku. Les prostriedkov je izolovaný model lesa služby AD DS, ktorý je nasadený vo vašej obvodovej sieti. Všetky radiče domény, členovia a klienti pripojení k doméne sa nachádzajú vo vašej DMZ.
Čítať : Nepodarilo sa kontaktovať radič domény Active Directory pre doménu
Môžete nasadiť v DMZ?
Webové aplikácie môžete nasadiť v demilitarizovanej zóne (DMZ), aby ste umožnili externým oprávneným používateľom mimo vašej firemnej brány prístup k vašim webovým aplikáciám. Ak chcete zabezpečiť zónu DMZ, môžete:
- Obmedzte vystavenie portov na kritických zdrojoch v sieťach DMZ.
- Obmedzte vystavené porty iba na požadované adresy IP a vyhnite sa umiestňovaniu zástupných znakov do cieľových portov alebo položiek hostiteľa.
- Pravidelne aktualizujte všetky aktívne používané rozsahy verejných IP adries.
Čítať : Ako zmeniť IP adresu radiča domény .
