Najlepsze praktyki kontrolera domeny DMZ

Administrator IT może zablokować strefę DMZ z perspektywy zewnętrznej, ale nie zapewni tego poziomu bezpieczeństwa dostępu do strefy DMZ z perspektywy wewnętrznej, ponieważ będziesz musiał uzyskiwać dostęp do tych systemów, zarządzać nimi i monitorować je również w strefie DMZ, ale w nieco inny sposób niż w przypadku systemów w wewnętrznej sieci LAN. W tym poście omówimy najlepsze praktyki kontrolera domeny DMZ zalecane przez firmę Microsoft .

Co to jest kontroler domeny DMZ?

W bezpieczeństwie komputerowym strefa zdemilitaryzowana lub strefa zdemilitaryzowana to fizyczna lub logiczna podsieć, która zawiera zewnętrzne usługi organizacji i udostępnia je większej i niezaufanej sieci, zazwyczaj Internetowi. Celem DMZ jest dodanie dodatkowej warstwy bezpieczeństwa do sieci LAN organizacji; zewnętrzny węzeł sieci ma bezpośredni dostęp tylko do systemów w strefie DMZ i jest odizolowany od jakiejkolwiek innej części sieci. W idealnej sytuacji w strefie DMZ nigdy nie powinien znajdować się kontroler domeny, który pomagałby w uwierzytelnianiu w tych systemach. Wszelkie informacje uważane za wrażliwe, w szczególności dane wewnętrzne, nie powinny być przechowywane w strefie DMZ ani mieć zależnych od niej systemów DMZ.

Najlepsze praktyki kontrolera domeny DMZ

Zespół usługi Active Directory w firmie Microsoft udostępnił dokumentację z najlepszymi praktykami dotyczącymi uruchamiania usługi AD w strefie DMZ. Przewodnik obejmuje następujące modele AD dla sieci obwodowej:

• Brak Active Directory (konta lokalne)
• Izolowany model lasu
• Rozszerzony model lasu korporacyjnego
• Model zaufania lasu

Przewodnik zawiera wskazówki dotyczące określania, czy usługi domenowe w usłudze Active Directory (AD DS) są odpowiednie dla sieci obwodowej (znanej również jako strefy DMZ lub ekstranety), różne modele wdrażania usług AD DS w sieciach obwodowych oraz informacje dotyczące planowania i wdrażania w trybie tylko do odczytu Kontrolery domeny (RODC) w sieci obwodowej. Ponieważ kontrolery RODC udostępniają nowe możliwości sieciom granicznym, większość treści tego przewodnika opisuje sposób planowania i wdrażania tej funkcji systemu Windows Server 2008. Jednak inne modele usługi Active Directory przedstawione w tym przewodniku są również realnymi rozwiązaniami dla Twojej sieci obwodowej.

Otóż ​​to!

Podsumowując, dostęp do DMZ z perspektywy wewnętrznej powinien być jak najściślej zablokowany. Są to systemy, które mogą potencjalnie przechowywać poufne dane lub mieć dostęp do innych systemów, które zawierają poufne dane. Jeśli serwer strefy DMZ zostanie naruszony, a wewnętrzna sieć LAN jest szeroko otwarta, atakujący nagle uzyskają dostęp do Twojej sieci.

Czy kontroler domeny powinien znajdować się w strefie DMZ?

Nie jest to zalecane, ponieważ narażasz kontrolery domeny na określone ryzyko. Las zasobów to izolowany model lasu usług AD DS, który jest wdrażany w sieci obwodowej. Wszystkie kontrolery domeny, członkowie i klienci przyłączeni do domeny znajdują się w Twojej strefie DMZ.

Czy można wdrażać w strefie DMZ?

Aplikacje sieci Web można wdrażać w strefie zdemilitaryzowanej (DMZ), aby umożliwić zewnętrznym autoryzowanym użytkownikom spoza firmowej zapory dostęp do aplikacji sieci Web. Aby zabezpieczyć strefę DMZ, możesz:

• Ogranicz dostęp do portów internetowych​ na krytycznych zasobach w sieciach DMZ.
• Ogranicz odsłonięte porty tylko do wymaganych adresów IP i unikaj umieszczania symboli wieloznacznych w porcie docelowym lub wpisach hosta.
• Regularnie aktualizuj wszystkie aktywne publiczne zakresy adresów IP.