У нас есть приложение, которое мы размещаем в стороннем центре обработки данных для наших клиентов. У нас есть несколько клиентов, запускающих одно и то же приложение на нескольких стойках серверов. Большинство наших клиентов требуют, чтобы наши серверы были совместимы с SAS70.
В настоящее время каждый сервер имеет собственный набор пользователей и параметров безопасности, которые необходимо настроить. Мы создаем сценарии для этого, но каковы будут риски / преимущества присоединения всех серверов к домену для управления пользователями и групповой политики для обеспечения выполнения настроек безопасности?
Некоторые считают, что если DC будет взломан, вся сеть будет скомпрометирована, тогда как если бы взломали один автономный сервер, все остальное должно быть в безопасности.
В большинстве случаев централизованная проверка подлинности позволяет улучшить политику паролей. Вы можете использовать групповые политики для усиления настроек безопасности.
Это также значительно упростит использование инструментов управления и аудита. Действительно ли домен менее безопасен, чем инструменты для распространения настроек? Если ваши скрипты скомпрометированы, нельзя ли взломать все машины?
Вы можете создать клиентский домен, который доверяет вашему внутреннему домену, но убедитесь, что ваш внутренний домен не доверяет клиентскому домену.