http://www.darrylvanderpeijl.com/windows-azure-pack-active-directory-design-choices/

No Active Directory in DMZ / Perimeter Network

Extended Forest

Forest with child domains

Isolated Forests

AD 포리스트 (Active Directory 포리스트)는 도메인, 사용자, 컴퓨터 및 그룹 정책이 포함 된 Active Directory 구성 에서 최상위 논리 컨테이너입니다 .

"그러나 기다리십시오."라고 말합니다. "Active Directory가 하나의 도메인이라고 생각 했습니까?"

단일 Active Directory 구성에는 둘 이상의 도메인이 포함될 수 있으며 도메인 위 의 계층을 AD 포리스트라고합니다. 각 도메인 아래에 여러 개의 나무가있을 수 있으며 나무의 숲을보기가 어려울 수 있습니다.

이 추가 최상위 계층은 보안 문제를 야기하고 악용 가능성을 높이지만 필요한 경우 격리 및 자율성을 향상시킬 수 있습니다. 트릭은 AD 포리스트와 이를 보호하기위한 다양한 전략을 이해 하는 것 입니다.

포레스트 디자인을 만드는 방법?

포리스트를 만들거나 정리해야 할 포리스트를 상속했다고 가정 해 보겠습니다. 하나 이상의 포리스트에서 여러 개의 다른 도메인과 GPO 를보고 통합 또는 획득의 초기 시도로 인해 공존하려고하는 것이 일반적 입니다.

먼저 완전히 별도의 보안 정책을 요구하는 조직 요구 사항이 있는지 확인하십시오. 데이터 보안에 중점을두고 대화를 구성하십시오.

• AD 포리스트 수준에서 설정할 수있는 초과 정책이 있습니까?
• 다른 보안 정책 또는 분리 된 네트워크 연결을 가진 추가 도메인이 필요합니까?
• 이 있습니까 법적 숲에서 별도의 도메인을 요구하거나 응용 프로그램 요구 사항은?

"자율 및 격리"요구 사항이 문서화되면 디자인 팀은 각 팀 또는 조직의 요구에 따라 포리스트, 도메인 및 GPO를 구축 할 수 있습니다.

몇 개의 숲이 필요합니까?

경우에 따라 자율성 또는 격리 요구 사항에 따라 별도의 AD 포리스트를 만들어야 할 수도 있습니다. 포리스트를 추가하면 AD 스키마 관리가 복잡해집니다. AD 스키마에 다른 포리스트를 추가하기로 결정한 경우 고려해야 할 사항이 있습니다.

• 두 번째 포리스트를 만들지 않고도 충분한 격리를 달성 할 수 있습니까?
• 모든 이해 당사자가 별도의 산림의 영향을 이해하고 있습니까?
  • 2 개의 개별 포리스트를 관리하면 응용 프로그램 서버와 IT 비용이 두 배가됩니다.
• 다른 포리스트를 관리 할 수있는 리소스가 있습니까?
  • 단일 IT 팀이 두 AD 포리스트를 모두 관리해서는 안됩니다. 보안 전문가는 업무 분리를 위해 포리스트 당 하나의 IT 팀을 권장합니다.
  • 모범 사례는 하나의 AD의 숲으로 신규 또는 인수 도메인을 마이그레이션하는 것입니다.

단일 포리스트 및 다중 포리스트 Active Directory 디자인

단일 AD 포리스트는 장기적으로 더 간단한 솔루션이며 일반적으로 모범 사례로 간주됩니다. GPO, 기존 데이터 소유자 및 최소 권한 모델을 활용하여 여러 도메인이있는 2 차 AD 포리스트의 추가 오버 헤드없이 안전한 환경을 만들 수 있습니다.

다중 포리스트는 두 도메인에 걸쳐 추가 보안 계층을 제공하지만 IT 비용이 크게 증가합니다. 다중 포리스트는 기본적으로 보안을 강화하지 않습니다. 당신은 여전히 필요 구성 GPO를 각 AD 포리스트에 적절하게 및 권한.

숲 설계 모델

AD 포리스트를 디자인하는 기본 방법에는 세 가지가 있습니다. 이러한 디자인을 조합하여 조직의 보안 요구를 충족시킬 수 있습니다. 모든 Active Directory에는 하나 이상의 AD 포리스트가 있으며 비즈니스 및 보안 목표를 달성하기 위해 여러 AD 포리스트가 필요한 경우가 있습니다. 다음은 몇 가지 다른 포리스트 모델입니다. 각 모델마다 장단점이 다르고 고유 한 사용 사례가 있습니다.

조직의 산림 모델

조직 포리스트에서는 사용자 계정과 리소스가 함께 저장되고 관리됩니다. 이것이 표준 구성입니다.

조직의 포리스트 모델의 특징 :

• 포리스트의 사용자 및 리소스에 자율성을 제공합니다.
• 포리스트 외부의 모든 사람으로부터 서비스 및 데이터를 격리
• 포리스트 간 트러스트 관계를 통해 외부 포리스트에있는 일부 리소스에 액세스 할 수 있습니다.

자원 숲 모델

리소스 포리스트는 사용자 계정과 리소스를 다른 포리스트로 분리합니다. 이 구성을 사용하여 제조 시스템 또는 미션 크리티컬 시스템을 기본 포리스트와 분리하므로 한 포리스트에 문제가 있으면 다른 포리스트를 계속 사용할 수 있습니다.

자원 삼림 모델의 특성 :

• 사용자는 조직의 포리스트에 살고
• 자원은 하나 이상의 추가 포리스트에 있습니다.
• 대체 관리 사용자 계정 만 리소스 포리스트에 있습니다.
• 트러스트를 통해 사용자와 리소스 공유 가능
• 이 모델은 서비스 격리를 제공하므로 한 포리스트가 중단되면 다른 포리스트는 계속 정상적으로 작동합니다.

제한된 액세스 포리스트 모델

제한된 액세스 포리스트는 다른 포리스트와 사용자 및 리소스를 완전히 분리합니다. 이 구성을 사용하여 데이터를 완전히 보호하고 사용자를 특정 데이터 세트로 제한합니다.

제한된 접근 포리스트 모델의 특성 :

• 다른 포리스트에는 트러스트가 없습니다
• 다른 포리스트의 사용자는 제한된 액세스 포리스트의 리소스에 액세스 할 수 없습니다
• 제한된 포리스트에 액세스하려면 두 번째 컴퓨터가 필요합니다
• 필요한 경우 완전히 별도의 네트워크에 보관 가능

Active Directory 포리스트 모범 사례

AD 포리스트는 2000 년부터 사용되어 왔으므로 Active Directory 및 포리스트를 구성하는 가장 좋은 방법에 대한 여러 가지 이론이 있습니다. 현재 모범 사례는 다음과 같습니다.

• 가능하면 단일 포리스트로 통합
• GPO를 통한 리소스 및 데이터 보안 및 최소 권한 모델 적용
• GPO를 사용하면 설정된 프로세스를 수행하지 않고도 새 폴더를 만들 수있는 기능을 추가로 제한 할 수 있습니다. 적어도 특권 권한 모델 .
• 도메인 관리자에게 변경 관리 프로세스마다 필요할 때만 사용하는 두 번째 관리자 계정을 부여하십시오.
• 트러스트 관계가있는 여러 AD 포리스트가있는 경우 통합을 고려하십시오.
• 제한된 액세스 포리스트를 만들어야하는 경우 실제로 제한되어 있는지 확인하십시오. 기본 포리스트가 원하는만큼 안전하기 때문에 제한된 액세스 포리스트는 Castle Black이어야합니다. 700 '벽을 그 주위에 놓고 그것을 유지하십시오.

Active Directory가 왕국에 대한 키를 보유하고있는 경우 AD 포리스트가 이러한 키의 핵심 고리입니다. Active Directory 를 보호 할뿐만 아니라 데이터 유출을 방지하고 데이터 감소를 방지하기 위해 AD 포리스트를 구성 및 관리하는 방법을 이해하는 것이 중요합니다. 보안 취약점.

AD 포리스트 수에 관계없이 Active Directory를 보호하는 방법에 대해 자세히 알고 싶으십니까? Active Directory에서 5 개의 FSMO 역할에 대해 알아보고 Windows 용 AD와 Azure Active Directory 의 차이점을 확인하십시오 . 

오디오 / 비주얼 경험을 선호하십니까? Active Directory 보안을위한 4 가지 팁 에 대한 주문형 웨비나를 시청하십시오 .

Active Directory 란 무엇입니까

옛날 옛적에 IT 전문가들은 데이터 유출 위험과 자격 증명 손상 위험이 클라우드에 데이터를 올리는 것을 지연시킬 정도로 높았다 고 믿었습니다. 결국, 어떤 조직도 세상에 또 다른 데이터 유출을 알리는 트렌드 헤드 라인이되기를 원하지 않습니다. 그러나 시간이 지남에 따라 보안이 향상되고 채택률이 높아지고 신뢰도가 높아지면서 기술 불안이 가라 앉고 Microsoft의 가입 기반 서비스 Office 365와 같은 클라우드 기반 응용 프로그램을 실행하는 것은 자연스러운 다음 단계처럼 느껴집니다.

사용자가 Office 365를 사용하기 시작하면 어떻게 AD를 관리합니까? Windows Server AD 또는 Azure AD? 온-프레미스 AD와 Azure AD는 어떻게 비슷하며 어떻게 다릅니 까?

이 글에서는 유사점, 차이점 및 그 사이의 몇 가지 사항에 대해 설명합니다.

Windows Active Directory : 우리가 아는 것

Active Directory 도메인 서비스에 대한 정보부터 시작하겠습니다.

Windows 2000 Server Edition과 함께 처음 릴리스 된 Active Directory는 회사의 사용자, 컴퓨터 등을 구성하는 데 도움이되는 데이터베이스입니다. 응용 프로그램, 파일 서비스, 프린터 및 기타 온-프레미스 리소스에 대한 인증 및 권한 부여를 제공합니다. 인증 및 LDAP에 대해 Kerberos 및 NTLM과 같은 프로토콜을 사용하여 AD 데이터베이스의 항목을 쿼리하고 수정합니다.

 네트워크 전체에서 사용자 및 컴퓨터 설정을 간소화 하는 훌륭한 그룹 정책 기능도 있습니다.

Active Directory에 저장된 많은 보안 그룹, 사용자 및 관리자 계정 및 암호와 여기에서 관리되는 ID 및 액세스 권한이 있으므로 AD 보안 은 조직의 자산을 보호하는 데 중요합니다.

이제 클라우드에 저장된 전자 메일, 파일, CRM 시스템 및 응용 프로그램을 통해 회사의 자체 서버에있을 때만 큼 안전하다고 확신 할 수 있습니까?

클라우드의 Active Directory 서비스

새로운 스타트 업과 조직이 회사를 구축함에 따라 온-프레미스 데이터가 없을 가능성이 높으며 AD에서 포리스트와 도메인을 만들지 않을 것이라는 점은 매우 충격적입니다. 나중에 이것에 대해 더 자세히 설명하겠습니다.

그러나 기존 인프라가있는 조직은 이미 온 프레미스 인프라에 상당한 투자를했으며 비즈니스를 운영하는 새로운 방법을 시각화해야합니다.

왜? Azure AD는 Microsoft 미래의 핵심 부분이 될 것입니다. 따라서 Office 365, Sharepoint Online 및 Exchange 온라인과 같은 Microsoft의 온라인 서비스를 이미 사용하고 있다면 그 길을 탐색하는 방법을 알아야합니다. 이미 조직에서 클라우드 기반 앱을 빠르게 채택하여 거의 50 %의 시간 동안 실행하는 것처럼 보입니다 .

Active Directory 자습서 목록으로 자세히 알아보십시오

Azure Active Directory : 차이점

먼저 Windows Server Active Directory가 웹 기반 서비스를 관리하도록 설계되지 않았 음을 알아야합니다.

반면에 Azure Active Directory는 Office 365, Salesforce.com 등에 REST (REpresentational State Transfer) API 인터페이스를 사용하는 웹 기반 서비스를 지원하도록 설계되었습니다. 일반 Active Directory와 달리 완전히 다른 프로토콜 (Goodbye, Kerberos)을 사용합니다. SAML 및 OAuth 2.0과 같은 이러한 서비스와 함께 작동하는 NTLM).

앞에서 지적한 바와 같이 Azure AD를 사용하면 포리스트와 도메인을 만들지 않을 것입니다. 대신 전체 조직을 나타내는 테넌트가 됩니다. 실제로 Office 365, Sharepoint 또는 Exchange Online에 가입하면 자동으로 Azure AD 테넌트가되어 회사의 모든 사용자와 암호, 권한, 사용자 데이터 등을 관리 할 수 ​​있습니다.

Azure AD는 모든 Microsoft Online Services에 완벽하게 연결하는 것 외에도 Single Sign-On을 사용하여 수백 개의 SaaS 응용 프로그램에 연결할 수 있습니다. 이를 통해 직원은 반복적으로 로그인 할 필요없이 조직의 데이터에 액세스 할 수 있습니다. 액세스 토큰은 직원의 장치에 로컬로 저장됩니다. 또한 토큰 만료 날짜를 만들어 액세스를 제한 할 수 있습니다.

최고의 Azure Active Directory 자습서 목록으로 자세히 알아보십시오 .

무료, 기본 및 프리미엄 기능 목록을 보려면이 비교 차트를 확인하십시오 .

Azure AD Connect 준비

온-프레미스 AD 구조를 Azure AD와 통합 할 준비가 된 조직을 위해 Azure AD Connect 는 자동 동기화 메커니즘을 제공합니다.

로컬 Active Directory 및 Azure Active Directory에서 사용자 계정을 동기화하면 통합 자격 증명 집합을 사용하여 Office365 및 로컬 네트워크 리소스에 액세스 할 수 있습니다.

이 프로젝트는 필요에 따라 로컬 Active Directory 그룹 및 권한 구성에 대한 심층적 인 이해가 필요합니다. 많은 조직에서 점차 중복 권한, 오래된 사용자 계정 및 불필요한 역할로 인해 얽히게되어 Azure AD Connect로 나아가는 것이 불가능합니다. .

이러한 문제를 해결하고 동시에 Azure AD 및 로컬 AD 사용자를 관리하는 방법을 알아 보려면 Varonis Data Security Platform 의 일대일 데모 를 받으십시오 .