DMZ 도메인 컨트롤러 모범 사례

IT 관리자는 외부 관점에서 DMZ를 잠글 수 있지만 DMZ 내에서도 이러한 시스템에 액세스, 관리 및 모니터링해야 하므로 내부 관점에서 DMZ에 대한 액세스에 해당 수준의 보안을 적용하지 못할 수 있습니다. 내부 LAN에 있는 시스템과 다른 방식입니다. 이 게시물에서는 Microsoft 권장 DMZ 도메인 컨트롤러 모범 사례에 대해 설명합니다 .

DMZ 도메인 컨트롤러란 무엇입니까?

컴퓨터 보안에서 DMZ(비무장 지대)는 조직의 외부 서비스를 포함하고 더 크고 신뢰할 수 없는 네트워크(일반적으로 인터넷)에 노출하는 물리적 또는 논리적 하위 네트워크입니다. DMZ의 목적은 조직의 LAN에 추가 보안 계층을 추가하는 것입니다. 외부 네트워크 노드는 DMZ의 시스템에만 직접 액세스할 수 있으며 네트워크의 다른 부분과 격리됩니다. 이상적으로는 DMZ에 이러한 시스템에 대한 인증을 지원하는 도메인 컨트롤러가 없어야 합니다. 민감한 것으로 간주되는 모든 정보, 특히 내부 데이터는 DMZ에 저장하거나 DMZ 시스템이 이에 의존하도록 해서는 안 됩니다.

DMZ 도메인 컨트롤러 모범 사례

Microsoft의 Active Directory 팀은 DMZ에서 AD를 실행하기 위한 모범 사례가 포함된 설명서를 제공했습니다 . 이 가이드는 경계 네트워크에 대한 다음 AD 모델을 다룹니다.

• Active Directory 없음(로컬 계정)
• 고립된 숲 모델
• 확장된 기업 포리스트 모델
• 포레스트 트러스트 모델

이 가이드에는 AD DS(Active Directory 도메인 서비스)가 경계 네트워크(DMZ 또는 엑스트라넷이라고도 함)에 적합한지 여부를 결정하기 위한 지침, 경계 네트워크에서 AD DS를 배포하기 위한 다양한 모델, 읽기 전용에 대한 계획 및 배포 정보가 포함되어 있습니다 . 경계 네트워크의 RODC(도메인 컨트롤러). RODC는 경계 네트워크에 새로운 기능을 제공하므로 이 가이드의 대부분의 내용은 이 Windows Server 2008 기능을 계획하고 배포하는 방법을 설명합니다. 그러나 이 가이드에 소개된 다른 Active Directory 모델도 주변 네트워크에 실행 가능한 솔루션입니다.

그게 다야!

요약하면 내부 관점에서 DMZ에 대한 액세스는 가능한 한 단단히 잠겨 있어야 합니다. 잠재적으로 민감한 데이터를 보유하고 있거나 민감한 데이터가 있는 다른 시스템에 액세스할 수 있는 시스템입니다. DMZ 서버가 손상되고 내부 LAN이 활짝 열려 있으면 공격자가 갑자기 네트워크에 침입할 수 있습니다.

도메인 컨트롤러는 DMZ에 있어야 합니까?

도메인 컨트롤러를 특정 위험에 노출시키므로 권장하지 않습니다. 리소스 포리스트는 경계 네트워크에 배포되는 격리된 AD DS 포리스트 모델입니다. 모든 도메인 컨트롤러, 구성원 및 도메인 가입 클라이언트는 DMZ에 상주합니다.

DMZ에 배포할 수 있습니까?

회사 방화벽 외부의 인증된 외부 사용자가 웹 응용 프로그램에 액세스할 수 있도록 DMZ(비무장 지대)에 웹 응용 프로그램을 배포할 수 있습니다. DMZ 영역을 보호하려면 다음을 수행할 수 있습니다.

• DMZ 네트워크의 중요한 리소스에 대한 인터넷 연결 포트 노출을 제한합니다.
• 노출된 포트를 필요한 IP 주소로만 제한하고 대상 포트 또는 호스트 항목에 와일드카드를 넣지 마십시오.
• 활성 사용 중인 공용 IP 범위를 정기적으로 업데이트합니다.