DMZ ドメイン コントローラーのベスト プラクティス

IT 管理者は外部の観点から DMZ をロックダウンする可能性がありますが、DMZ 内のこれらのシステムにもアクセス、管理、監視する必要があるため、内部の観点から DMZ へのアクセスにそのレベルのセキュリティを設定することはできません。これは、内部 LAN 上のシステムの場合とは異なる方法です。この投稿では、Microsoft が推奨するDMZ ドメイン コントローラーのベスト プラクティスについて説明します。

DMZ ドメイン コントローラとは何ですか?

コンピューター セキュリティでは、DMZ (非武装地帯) は物理的または論理的なサブネットワークであり、組織の外部向けサービスを含み、より大規模で信頼されていないネットワーク (通常はインターネット) に公開します。DMZ の目的は、組織の LAN にセキュリティ層を追加することです。外部ネットワーク ノードは、DMZ 内のシステムにのみ直接アクセスでき、ネットワークの他の部分からは分離されています。理想的には、これらのシステムへの認証を支援するために、DMZ 内にドメイン コントローラーが存在しないようにする必要があります。機密と見なされる情報、特に内部データは、DMZ に保存したり、DMZ システムに依存させたりしないでください。

DMZ ドメイン コントローラーのベスト プラクティス

Microsoft の Active Directory チームは、DMZ で AD を実行するためのベスト プラクティスを記載したドキュメントを公開しています。このガイドでは、境界ネットワークの次の AD モデルについて説明します。

• Active Directory なし (ローカル アカウント)
• 孤立した森林モデル
• 拡張された企業の森林モデル
• フォレスト トラスト モデル

このガイドには、Active Directory ドメイン サービス (AD DS) が境界ネットワーク (DMZ またはエクストラネットとも呼ばれます) に適しているかどうかを判断するための指示、境界ネットワークに AD DS を展開するためのさまざまなモデル、および読み取り専用の計画と展開に関する情報が含まれています。境界ネットワーク内のドメイン コントローラー (RODC)。RODC は境界ネットワークに新しい機能を提供するため、このガイドのほとんどの内容では、この Windows Server 2008 機能を計画および展開する方法について説明しています。ただし、このガイドで紹介する他の A​​ctive Directory モデルも、境界ネットワークの実行可能なソリューションです。

それでおしまい！

要約すると、内部の観点からの DMZ へのアクセスは、可能な限り厳重にロックダウンする必要があります。これらは、機密データを保持している可能性があるシステム、または機密データを保持している他のシステムにアクセスできるシステムです。DMZ サーバーが侵害され、内部 LAN が広く開かれている場合、攻撃者は突然ネットワークに侵入します。

ドメイン コントローラーは DMZ に配置する必要がありますか?

ドメイン コントローラーを特定のリスクにさらすことになるため、お勧めしません。リソース フォレストは、境界ネットワークに展開される分離された AD DS フォレスト モデルです。すべてのドメイン コントローラー、メンバー、およびドメインに参加しているクライアントは、DMZ に存在します。

DMZ にデプロイできますか?

非武装地帯 (DMZ) に Web アプリケーションを展開して、会社のファイアウォールの外側にある外部の許可されたユーザーが Web アプリケーションにアクセスできるようにすることができます。DMZ ゾーンを保護するには、次のことができます。

• DMZ ネットワーク内の重要なリソースで、インターネットに面したポートの公開を制限します。
• 公開するポートを必要な IP アドレスのみに制限し、宛先ポートまたはホスト エントリにワイルドカードを配置しないようにします。
• アクティブに使用されているパブリック IP 範囲を定期的に更新します。