Domeniul s-a alăturat WAP în DMZ

Steve

02.02.2023, 09:26

Până în prezent, am folosit ADFS doar pentru aplicații care țin cont de revendicări.

Acum mă uit să-l folosesc pentru unele aplicații care nu țin cont de revendicări.

Am citit că serverul WAP trebuie să fie alăturat domeniului pentru aceasta, astfel încât să poată efectua delegarea constrânsă Kerberos.

Mi s-a spus anterior că serverele asociate domeniului nu ar trebui să fie în DMZ. Presupunând că sfatul este încă cea mai bună practică, care este cel mai sigur mod de a implementa servere WAP asociate domeniului într-un DMZ? ..... Și există configurații alternative care ar permite în continuare autentificarea pentru aplicații care nu țin cont de revendicări

Multumesc pentru ajutor

0 + 0

domeniu

dmz

adfs

securitatea retelei

Puncte:0

Server

Jevgenij Martynenko

02.02.2023, 17:29

care este cel mai sigur mod de a implementa servere WAP asociate domeniului într-un DMZ?

Dacă trebuie neapărat să aveți servere asociate domeniului în DMZ, nu puneți controlere de domeniu care pot fi scrise în DMZ - doar controlere de domeniu numai pentru citire. În general, serverele asociate unui domeniu din DMZ cresc riscurile de securitate, așa că în ceea ce privește securitatea, acest lucru ar trebui evitat dacă este posibil.

Și există configurații alternative care ar permite în continuare autentificarea pentru aplicații care nu țin cont de revendicări

Proxy de aplicație Azure AD ar fi o alternativa buna. Acceptă diverse SSO-uri, inclusiv Kerberos și reguli avansate de securitate (cu Acces condiționat Azure AD). Pe lângă controalele avansate de securitate, principalul avantaj este că nu ar trebui să puneți niciun server în DMZ sau să deschideți niciun port de intrare pe firewall. Are propriile sale considerații și limitări, care se pot aplica sau nu în cazul dvs. Depinde de aplicația în sine, de geografia utilizatorului și de alți factori

0 + 0

Steve

03.02.2023, 09:46

Mulțumesc Jevgenji Pare ciudat că este o implementare standard Microsoft, având în vedere compromisul în securitate, dar voi construi o dovadă de concept cu un rodc

Răspunde

Jevgenij Martynenko

03.02.2023, 15:25

@Steve RODC în DMZ are nevoie de acces la rețea în LAN, așa că ridică un risc, deoarece crește un peisaj de încălcare. Dar aduce și funcții suplimentare, cum ar fi Kerberos SSO.Productivitatea afectează întotdeauna securitatea (și invers). Mă tem că, în caz de AD, aceasta este prin proiectare. Soluțiile tehnologice moderne, cum ar fi Azure AD, atenuează mult mai bine aceste riscuri. AD ca tehnologie a fost creată pentru o altă lume decât cea în care trăim acum

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Domain joined WAP in DMZ

TH: โดเมนเข้าร่วม WAP ใน DMZ

RO: Domeniul s-a alăturat WAP în DMZ

RU: Домен присоединился к WAP в DMZ

VI: Tên miền đã tham gia WAP trong DMZ

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.