Considerações de segurança para uma relação de confiança do AD de DMZ para LAN corporativa

1

Sou um desenvolvedor do SharePoint e fui solicitado a implantar um servidor do SharePoint dentro de um DMZ que será acessado de uma LAN corporativa.

Atualmente, a DMZ tem IPs públicos (que são protegidos por um firewall) e a LAN corporativa se conecta a essa DMZ com uma VPN site a site para acessar os aplicativos hospedados lá.

A introdução do Sharepoint exige que o servidor do Sharepoint na DMZ seja colocado no domínio do Active Directory da rede corporativa, mas isso foi rejeitado.

O que deve acontecer, em vez disso, é que um novo controlador de domínio seja configurado na DMZ, e uma confiança unidirecional deve existir para que os usuários na LAN corporativa possam ser autenticados no servidor Sharepoint. Os servidores na DMZ não podem ver a LAN corporativa e isso também não acontecerá, portanto, o que está sendo sugerido é que um controlador de domínio secundário (do nosso DMZ AD) existirá com hospedagem múltipla com conexões à LAN corporativa e à rede DMZ. p>

Presume-se que os usuários que se autenticam em aplicativos na DMZ funcionem em virtude de um dos DC estar em ambas as redes.

Tenho minhas dúvidas sobre essa configuração e preferiria que a LAN corporativa fosse estendida para incluir o servidor Sharepoint e fazer com que ele se associasse ao domínio corporativo.

Só porque um DC estará na LAN corporativa, o que acontecerá quando um usuário acessar o servidor do Sharepoint e tentar um logon confiável se o servidor do SharePoint só puder ver o controlador de domínio na DMZ?

Existe algum ponto em ter 2 CDs nesse caso? O DC multihomed é o caminho a percorrer ou devemos ter regras para que os servidores DMZ consigam alcançar a LAN corporativa?

    
por threeothree 31.03.2015 / 14:26

0 respostas