ผู้ดูแลระบบ IT อาจล็อก DMZ จากมุมมองภายนอก แต่ไม่สามารถวางความปลอดภัยระดับนั้นในการเข้าถึง DMZ จากมุมมองภายใน เนื่องจากคุณจะต้องเข้าถึง จัดการ และตรวจสอบระบบเหล่านี้ภายใน DMZ ด้วย แต่ ในลักษณะที่แตกต่างจากที่คุณทำกับระบบบน LAN ภายในของคุณเล็กน้อย ในโพสต์นี้ เราจะพูดถึงแนวทางปฏิบัติที่ดีที่สุดสำหรับตัวควบคุมโดเมน DMZ ที่ Microsoft แนะนำ
ตัวควบคุมโดเมน DMZ คืออะไร
ในการรักษาความปลอดภัยคอมพิวเตอร์ DMZ หรือเขตปลอดทหารเป็นเครือข่ายย่อยทางกายภาพหรือเชิงตรรกะที่มีและเปิดเผยบริการภายนอกขององค์กรไปยังเครือข่ายที่ใหญ่กว่าและไม่น่าเชื่อถือ ซึ่งโดยปกติคืออินเทอร์เน็ต วัตถุประสงค์ของ DMZ คือการเพิ่มชั้นความปลอดภัยเพิ่มเติมให้กับ LAN ขององค์กร โหนดเครือข่ายภายนอกมีการเข้าถึงโดยตรงไปยังระบบใน DMZ เท่านั้น และแยกออกจากส่วนอื่น ๆ ของเครือข่าย ตามหลักการแล้ว ไม่ควรมีตัวควบคุมโดเมนอยู่ใน DMZ เพื่อช่วยในการรับรองความถูกต้องกับระบบเหล่านี้ ข้อมูลใดก็ตามที่ถือว่าละเอียดอ่อน โดยเฉพาะข้อมูลภายในไม่ควรเก็บไว้ใน DMZ หรือใช้ระบบ DMZ อยู่
แนวทางปฏิบัติที่ดีที่สุดของ DMZ Domain Controller
ทีม Active Directory ที่ Microsoft ได้ให้บริการ เอกสารประกอบพร้อมแนวทางปฏิบัติที่ดีที่สุดสำหรับการเรียกใช้ AD ใน DMZ คู่มือนี้ครอบคลุมโมเดล AD ต่อไปนี้สำหรับเครือข่ายปริมณฑล:
ไม่มี Active Directory (บัญชีในเครื่อง)โมเดลฟอเรสต์ที่แยกได้โมเดลฟอเรสต์ขององค์กรที่ขยายโมเดลความเชื่อถือของ Forest
คำแนะนำประกอบด้วยแนวทางสำหรับการพิจารณาว่า Active Directory Domain Services (AD DS) เป็น เหมาะสมกับเครือข่ายขอบเขตของคุณ (หรือที่เรียกว่า DMZ หรือเอ็กซ์ทราเน็ต) รุ่นต่างๆ สำหรับการปรับใช้ AD DS ในเครือข่ายขอบเขต และข้อมูลการวางแผนและการปรับใช้สำหรับ Read Only Domain Controllers (RODCs) ในเครือข่ายขอบเขต เนื่องจาก RODC มีความสามารถใหม่สำหรับเครือข่ายปริมณฑล เนื้อหาส่วนใหญ่ในคู่มือนี้จะอธิบายถึงวิธีการวางแผนและปรับใช้คุณลักษณะ Windows Server 2008 นี้ อย่างไรก็ตาม โมเดล Active Directory อื่นๆ ที่แนะนำในคู่มือนี้เป็นโซลูชันที่ใช้งานได้สำหรับเครือข่ายขอบเขตของคุณเช่นกัน
นั่นแหล่ะ!
โดยสรุป การเข้าถึง DMZ จากมุมมองภายในควรเป็น ล็อคให้แน่นที่สุด ระบบเหล่านี้คือระบบที่อาจเก็บข้อมูลที่ละเอียดอ่อนหรือมีสิทธิ์เข้าถึงระบบอื่นที่มีข้อมูลที่ละเอียดอ่อน หากเซิร์ฟเวอร์ DMZ ถูกโจมตีและ LAN ภายในเปิดกว้าง ผู้โจมตีก็หาทางเข้าสู่เครือข่ายของคุณได้ในทันที
อ่านถัดไป: การตรวจสอบข้อกำหนดเบื้องต้นสำหรับการเลื่อนระดับ Domain Controller ล้มเหลว
ตัวควบคุมโดเมนควรอยู่ใน DMZ หรือไม่
ไม่แนะนำเนื่องจากคุณกำลังทำให้ตัวควบคุมโดเมนของคุณตกอยู่ในความเสี่ยง ฟอเรสต์ทรัพยากรคือโมเดลฟอเรสต์ AD DS ที่แยกออกมาซึ่งปรับใช้ในเครือข่ายขอบเขตของคุณ ตัวควบคุมโดเมน สมาชิก และไคลเอนต์ที่เข้าร่วมโดเมนทั้งหมดอยู่ใน DMZ ของคุณ
อ่าน: ไม่สามารถติดต่อ Active Directory Domain Controller สำหรับโดเมนได้
คุณปรับใช้ใน DMZ ได้ไหม
คุณสามารถปรับใช้เว็บแอปพลิเคชันในเขตปลอดทหาร (DMZ) เพื่อให้ผู้ใช้ที่ได้รับอนุญาตภายนอกภายนอกไฟร์วอลล์ของบริษัทสามารถเข้าถึงแอปพลิเคชันเว็บของคุณได้ ในการรักษาความปลอดภัยของโซน DMZ คุณสามารถ:
จำกัดการเปิดเผยพอร์ตอินเทอร์เน็ตบนทรัพยากรที่สำคัญในเครือข่าย DMZ จำกัดการเปิดเผยพอร์ตเฉพาะที่อยู่ IP ที่จำเป็นและหลีกเลี่ยงการวางสัญลักษณ์แทนในพอร์ตปลายทางหรือรายการโฮสต์ อัปเดตสาธารณะใดๆ อย่างสม่ำเสมอ ช่วง IP ที่ใช้งานอยู่
อ่าน: วิธีเปลี่ยนที่อยู่ IP ของตัวควบคุมโดเมน
