Neste blog vou discutir diferentes projetos do Active Directory, com ênfase no uso do Windows Azure Pack. Desde que o Windows Azure Pack é nada diferente de um serviço web regular, estes projetos podem ser usados ​​de uma forma muito genérica.

Ao falar do Active Directory, na verdade estamos falando de segurança. As decisões de projeto que você faz pode ter um enorme impacto sobre a vulnerabilidade da sua infra-estrutura.

Windows Azure Pack está oferecendo uma série de serviços que podem ser acessados ​​a partir da Internet, como o Portal do inquilino e locatário API pública, e não se esqueça o recurso “Remote Console”, que vai precisar de um servidor de gateway de desktop remoto acessível a partir da Internet, bem .

Recomenda-se colocar servidores em uma rede DMZ / perímetro, que pode ser acessada a partir do exterior. Uma vez que eles são acessíveis a partir do mundo externo potencialmente ‘hostil’, esses servidores podem tornar-se sujeito a intrusão ou seqüestro pelos atacantes. A rede DMZ / Perímetro é uma área de contenção para que um servidor violado não ganha acesso imediato a sua infra-estrutura interna.

Então, vamos começar!

Vou discutir os seguintes quatro projetos diferentes do Active Directory e resumir as vantagens e desvantagens. 

  • No Active Directory em DMZ / perímetro de rede 
  • Floresta prolongado 
  • Floresta com domínios filho 
  • Isolados Florestas 

Os seguintes termos serão usados: 

ADDS Serviços de Domínio Active Directory
DMZ / perímetro de rede A zona de serviços de revestimento exterior
Rede Local A zona de serviços internos
Infra-estrutura local Infra-estrutura (servidores) na rede local
Infra-estrutura de Perímetro Infra-estrutura (servidores) na rede de perímetro

 

No Active Directory em DMZ / perímetro de rede

Você pode implementar o Windows Azure pacote sem o uso de Active Directory, assim você não tem que criar um domínio separado para WAP no perímetro. Windows Azure pacote usará Security Accounts Manager (SAM) banco de dados do servidor local para autenticar identidades e vai usar a autenticação do SQL para os bancos de dados.

O risco deste projeto de segurança é médio.

Vantagens:

  • Não ADDS necessário (vantagem?)
  • Não VMs para ADDS

Desvantagens:

  • Gerenciamento de usuários e os servidores precisam ser feitas localmente em cada servidor
  • Você não pode configurar clusters de failover sem ADDS (Hyper-V, SQL Always on, ..)
  • O protocolo Kerberos ou certificados não estão disponíveis para autenticação SAM local.
  • Atualizações centralizados (WSUS) não pode ser implementada
  • Sem capacidade de usar o ADFS

Nota:
Para o Windows Azure Pacote construir a funcionalidade como “Console Connect” ou “Rede de virtualização”, você vai precisar para construir um cluster Hyper-V.

Floresta prolongado

Um cenário de floresta estendida coloca os controladores de domínio que pertencem ao domínio da floresta na rede de perímetro. Este modelo permite que as identidades para acessar recursos na rede de perímetro a partir da Internet e da rede local sem a necessidade de múltiplos domínios ou ter de criar relações de confiança entre florestas interna e floresta perímetro para autenticação. Na verdade, a infra-estrutura local é estendido para a rede de perímetro.

O risco do seu cartão de segurança é alta.

Vantagens:

  • Não adicional ADDS floresta / Domínios necessários

Desvantagens:

  • A infra-estrutura do Active Directory local é acessível para computadores associados a um domínio ou usuários de domínio na rede de perímetro.
  • No isolamento de segurança para seqüestro de um controlador de domínio, seqüestra todo o domínio.

Floresta com domínios filho

Uma floresta com cenário domínios filho coloca todos os domínios na mesma floresta.Todos os domínios dentro da mesma floresta terá uma confiança criada automaticamente entre eles, ou seja, eles podem acessar os recursos do outro. Logicamente este cenário é muito parecido com o cenário de “Floresta estendida” descrito acima. A diferença é que você vai criar um domínio separado (= árvore) para cada finalidade em vez de colocar todos os usuários e computadores no mesmo domínio. Na verdade, a “infra-estrutura de perímetro”, como o portal Tenant é colocado na rede local neste cenário.

O risco do seu cartão de segurança é alta.

Vantagens:

  • A infra-estrutura do Active Directory “Perímetro” é acessível para computadores associados a um domínio ou usuários do domínio na infra-estrutura do Active Directory local. (Vantagem?)
  • Não há necessidade de criar floresta adicional.

Desvantagens:

  • A infra-estrutura do Active Directory local é acessível para computadores associados a um domínio ou usuários do domínio na infra-estrutura do Active Directory “Perímetro”.
  • Esquemas do Active Directory são compartilhados entre todos os controladores de domínio.
  • Ao criar uma Floresta-confiança com outra floresta, o outro Floresta terá acesso a toda a sua floresta
  • Isolamento de segurança inadequada entre domínios dentro de uma floresta
  • Você precisa definir direitos de acesso manualmente para cada domínio, se você não quer que os usuários e computadores na rede de perímetro para acessar a infra-estrutura do Active Directory local.

Isolados Florestas

O cenário de floresta isolado fornece a rede de perímetro com uma implantação dedicado de uma floresta completa. Neste modelo, a floresta na rede de perímetro não comunicar formalmente com qualquer outra floresta na rede. As identidades que são armazenados na floresta têm significado apenas dentro da mesma floresta.


A primeira coisa a ter em mente aqui é a gestão do domínio DMZ. Seus usuários MGMT não tem acesso ao domínio DMZ, o que pode ser atenuado através da criação de uma relação de confiança unidirecional.
Normalmente o seu domínio MGMT também possui componentes do System Center Configuration Manager ou como o Data Protection Manager. Esses produtos não têm acesso ao domínio DMZ e exigem um bidirecional confiança entre as florestas para funcionar corretamente, a menos que você está disposto a trabalhar com certificados.

Se você está pensando “Mas como WAP comunicar com SPF e VMM?”, Por favor, considere o seguinte. Quando os servidores estão em florestas separadas eles ainda podem ter uma comunicação IP, que é o que o firewall é para. Portanto, neste caso, WAP comunica, através do firewall, com o serviço web SPF na porta 8090. Nenhum problema em tudo!

O risco deste projeto de segurança é baixo.

Vantagens:

  • Não há riscos de segurança da DMZ para MGMT domínio
  • Capacidade de criar relação de confiança unidirecional, se necessário

Desvantagens:

  • Várias florestas devem ser criados e gerenciados
  • Alguns serviços como o DPM precisa de um bidirecional confiança que irá desfazer a segurança das florestas separadas

Como você já poderia esperar, eu recomendo o cenário “isolado Florestas”.
Escolha com sabedoria!

Anúncios