Práticas recomendadas do controlador de domínio DMZ
O administrador de TI pode bloquear o DMZ de uma perspectiva externa, mas não consegue colocar esse nível de segurança no acesso ao DMZ de uma perspectiva interna, pois você também terá que acessar, gerenciar e monitorar esses sistemas dentro do DMZ, mas de uma maneira ligeiramente maneira diferente do que você faria com sistemas em sua LAN interna. Nesta postagem, discutiremos as melhores práticas do controlador de domínio DMZ recomendadas pela Microsoft .
O que é um controlador de domínio DMZ?
Em segurança de computadores, uma DMZ, ou zona desmilitarizada, é uma sub-rede física ou lógica que contém e expõe os serviços externos de uma organização a uma rede maior e não confiável, geralmente a Internet. A finalidade de uma DMZ é adicionar uma camada adicional de segurança à LAN de uma organização; um nó de rede externo tem acesso direto apenas aos sistemas na DMZ e está isolado de qualquer outra parte da rede. Idealmente, nunca deve haver um controlador de domínio em uma DMZ para auxiliar na autenticação desses sistemas. Qualquer informação considerada sensível, especialmente dados internos, não deve ser armazenada na DMZ ou ter sistemas DMZ dependentes dela.
Práticas recomendadas do controlador de domínio DMZ
A equipe do Active Directory da Microsoft disponibilizou uma documentação com as melhores práticas para executar o AD em uma DMZ. O guia abrange os seguintes modelos de AD para a rede de perímetro:
- Sem Active Directory (contas locais)
- Modelo de floresta isolada
- Modelo florestal corporativo estendido
- Modelo de confiança florestal
O guia contém instruções para determinar se o Active Directory Domain Services (AD DS) é apropriado para sua rede de perímetro (também conhecida como DMZs ou extranets), os vários modelos para implantação de AD DS em redes de perímetro e informações de planejamento e implantação para somente leitura Controladores de domínio (RODCs) na rede de perímetro. Como os RODCs fornecem novos recursos para redes de perímetro, a maior parte do conteúdo deste guia descreve como planejar e implantar esse recurso do Windows Server 2008. No entanto, os outros modelos do Active Directory apresentados neste guia também são soluções viáveis para sua rede de perímetro.
É isso!
Em resumo, o acesso à DMZ de uma perspectiva interna deve ser bloqueado o mais firmemente possível. Esses são sistemas que podem potencialmente conter dados confidenciais ou ter acesso a outros sistemas que possuem dados confidenciais. Se um servidor DMZ estiver comprometido e a LAN interna estiver totalmente aberta, os invasores de repente terão acesso à sua rede.
O controlador de domínio deve estar em DMZ?
Não é recomendado porque você está expondo seus controladores de domínio a um determinado risco. A floresta de recursos é um modelo de floresta AD DS isolado que é implantado em sua rede de perímetro. Todos os controladores de domínio, membros e clientes ingressados no domínio residem em sua DMZ.
Você pode implantar em DMZ?
Você pode implantar aplicativos da Web em uma zona desmilitarizada (DMZ) para permitir que usuários externos autorizados fora do firewall de sua empresa acessem seus aplicativos da Web. Para proteger uma zona DMZ, você pode:
- Limite a exposição de portas voltadas para a Internet em recursos críticos nas redes DMZ.
- Limite as portas expostas apenas aos endereços IP necessários e evite colocar curingas na porta de destino ou nas entradas do host.
- Atualize regularmente quaisquer intervalos de IP públicos em uso ativo.
Deixe um comentário