Os servidores web devem ser membros de um domínio do Active Directory?

12

Em termos de segurança e gerenciamento - qual é a melhor prática?

Os servidores da web

  • Ser adicionado e gerenciado a partir de um domínio do Active Directory

ou

  • Fazer parte de um grupo de trabalho 'servidor da web' separado do diretório ativo 'servidor de recursos'?

Não há um requisito para que haja contas de usuário nos servidores da Web, apenas contas de gerenciamento (gerenciamento de servidores, relatórios do sistema, implantação de conteúdo, etc.)

    
por David Christiansen 01.06.2009 / 15:08

5 respostas

7

Se você quiser usar a delegação Kerberos para criar uma infraestrutura segura (e VOCÊ FAZ), precisará ingressar nesses servidores Web no domínio. O servidor da Web (ou conta de serviço) precisará da capacidade de delegar atribuído a ele para permitir a representação do usuário em seu servidor SQL.

Você deseja evitar a utilização da autenticação baseada em SQL no SQL Server se tiver requisitos de auditoria ou estatutários para rastreamento de acesso a dados (HIPAA, SOX, etc.). Você deve estar rastreando o acesso por meio de seu processo de provisionamento (ou seja, quem está em quais grupos, como isso foi aprovado e por quem) e todo o acesso aos dados deve ser feito por meio de uma conta atribuída ao usuário.

Para problemas DMZ relacionados ao acesso ao AD , você pode resolver um pouco disso com o Server 2008 usando um DC somente leitura (RODC), mas ainda há risco de implantar na DMZ. Existem também algumas maneiras de forçar um DC a usar portas específicas para passar por um firewall, mas esse tipo de cutomização pode dificultar o problema de problemas de autenticação.

Se você tiver necessidades específicas para permitir que os usuários da Internet e da Intranet acessem o mesmo aplicativo, talvez seja necessário investigar o uso de um dos produtos de Serviços Federados, seja da oferta da Microsoft ou algo como Ping Federated.

    
por 01.06.2009 / 21:14
8

Uso interno, absolutamente. Dessa forma, eles são gerenciados pelo GPO, o patch não é tão difícil e o monitoramento pode ser realizado sem muitas soluções alternativas.

Na DMZ, geralmente eu aconselharia não, eles não deveriam estar na DMZ. Se eles estiverem no domínio e na DMZ, o problema que você enfrenta é que o servidor da Web deve ter certa conectividade de volta para pelo menos um controlador de domínio. Portanto, se um invasor externo comprometer o servidor da Web, ele poderá iniciar ataques diretamente contra um dos DCs. Possua o DC, possui o domínio. Domine o domínio, seja dono da floresta.

    
por 01.06.2009 / 15:20
6

Por que não ter um domínio de servidor da Web na DMZ?

Pode ser uma floresta separada com uma relação de confiança unidirecional para administrar o domínio de seu domínio principal sem conceder nenhuma permissão ao domínio do WS para seu domínio principal.

Todas as alegrias do AD / WSUS / GPO - especialmente úteis se você tiver um farm inteiro delas - e, se estiver comprometido, não é sua rede principal.

    
por 01.06.2009 / 16:14
2

Se o servidor da Web estiver na mesma rede que o (s) Controlador (es) de Domínio, eu definitivamente o adicionaria ao domínio - pois isso obviamente adiciona uma grande capacidade de gerenciamento. No entanto, eu normalmente tentaria colocar servidores da Web em uma DMZ para aumentar a segurança - o que torna o acesso ao domínio impossível sem buracos (e isso é uma péssima ideia!)

    
por 01.06.2009 / 15:22
1

Como outros já mencionaram, se eles são públicos e não exigem autenticação de usuários no diretório, então não coloque-os no domínio.

No entanto, se você precisar de algum tipo de autenticação ou pesquisa de informações do AD, possivelmente procure executar o Modo de Aplicativo do Active Directory ( ADAM ) na DMZ. Talvez seja necessário replicar as informações relevantes do AD para a Partição Applicaton, pois o ADAM não sincroniza as partições padrão do AD.

Se você está apenas procurando recursos de gerenciamento, o ADAM não se aplica.

    
por 01.06.2009 / 15:35