Best practice per i controller di dominio DMZ

L’amministratore IT può bloccare la DMZ da una prospettiva esterna, ma non riesce a mettere quel livello di sicurezza sull’accesso alla DMZ da una prospettiva interna poiché dovrai accedere, gestire e monitorare anche questi sistemi all’interno della DMZ, ma in modo leggermente modo diverso da come faresti con i sistemi sulla tua LAN interna. In questo post, discuteremo le best practice del controller di dominio DMZ consigliate da Microsoft .

Che cos’è un controller di dominio DMZ?

Nella sicurezza informatica, una DMZ, o zona demilitarizzata, è una sottorete fisica o logica che contiene ed espone i servizi rivolti all’esterno di un’organizzazione a una rete più ampia e non affidabile, in genere Internet. Lo scopo di una DMZ è aggiungere un ulteriore livello di sicurezza alla LAN di un’organizzazione; un nodo di rete esterno ha accesso diretto solo ai sistemi nella DMZ ed è isolato da qualsiasi altra parte della rete. Idealmente, non dovrebbe mai esserci un controller di dominio in una DMZ per assistere con l’autenticazione a questi sistemi. Qualsiasi informazione considerata sensibile, in particolare i dati interni, non deve essere archiviata nella DMZ o avere sistemi DMZ basati su di essa.

Best practice per i controller di dominio DMZ

Il team di Active Directory di Microsoft ha reso disponibile una documentazione con le best practice per l’esecuzione di AD in una DMZ. La guida copre i seguenti modelli AD per la rete perimetrale:

• Nessuna Active Directory (account locali)
• Modello di foresta isolata
• Modello di foresta aziendale estesa
• Modello di fiducia forestale

La guida contiene le indicazioni per determinare se Active Directory Domain Services (AD DS) è appropriato per la rete perimetrale (nota anche come DMZ o extranet), i vari modelli per la distribuzione di AD DS nelle reti perimetrali e le informazioni di pianificazione e distribuzione per la sola lettura Controller di dominio (RODC) nella rete perimetrale. Poiché i controller di dominio di sola lettura forniscono nuove funzionalità per le reti perimetrali, la maggior parte del contenuto di questa guida descrive come pianificare e distribuire questa funzionalità di Windows Server 2008. Tuttavia, anche gli altri modelli di Active Directory presentati in questa guida sono valide soluzioni per la rete perimetrale.

Questo è tutto!

In sintesi, l’accesso alla DMZ da una prospettiva interna dovrebbe essere bloccato il più strettamente possibile. Si tratta di sistemi che possono potenzialmente contenere dati sensibili o avere accesso ad altri sistemi che dispongono di dati sensibili. Se un server DMZ viene compromesso e la LAN interna è completamente aperta, gli aggressori riescono improvvisamente a entrare nella tua rete.

Il controller di dominio dovrebbe essere in DMZ?

Non è consigliato perché stai esponendo i tuoi controller di dominio a un certo rischio. La foresta di risorse è un modello di foresta di servizi di dominio Active Directory isolato distribuito nella rete perimetrale. Tutti i controller di dominio, i membri e i client aggiunti al dominio risiedono nella tua DMZ.

Puoi distribuire in DMZ?

È possibile distribuire le applicazioni Web in una zona demilitarizzata (DMZ) per consentire agli utenti autorizzati esterni all’esterno del firewall aziendale di accedere alle applicazioni Web. Per proteggere una zona DMZ, puoi:

• Limita l’esposizione delle porte Internet sulle risorse critiche nelle reti DMZ.
• Limita le porte esposte solo agli indirizzi IP richiesti ed evita di inserire caratteri jolly nella porta di destinazione o nelle voci host.
• Aggiorna regolarmente tutti gli intervalli IP pubblici in uso attivo.