Поставщик просит нас создать односторонние доверительные отношения между их доменом и нашим, чтобы наши пользователи могли входить в свои приложения / серверы с учетными данными из нашего домена.
Какие существуют риски безопасности? Моя первая мысль - отклонить запрос и настоять на том, чтобы они установили свое приложение на серверах, которые мы проверили, и чтобы мы отслеживали / сканировали наш домен. Но мне бы хотелось, чтобы у меня было что-то подкрепление, чтобы это произошло не просто «потому что я так сказал».
РЕДАКТИРОВАТЬ: Их серверы расположены здесь, но в их собственном домене (something.local).
Риск безопасности, связанный с доверием домена, заключается в том, что ваша среда скомпрометирована, возможно использование sidhistory для повышения привилегий. Наиболее безопасным является доверие между лесами, поскольку оно позволяет безопасно передавать принципы внешней безопасности (и, что более важно, они идентифицируются как иностранные). Вы также можете использовать выборочную аутентификацию, чтобы убедиться, что разрешен только правильный FSP.
Единственная косвенная проблема с доверием любого типа заключается в том, что членство прошедших проверку подлинности пользователей означает пользователей, прошедших проверку подлинности, в том числе пользователей из внешнего леса, прошедших проверку подлинности.
Ваш поставщик не будет иметь доступа к ресурсам в вашем лесу с односторонним доверием, поэтому риск для вашей среды несколько минимизируется на функциональном уровне AD.
На сетевом уровне существует множество портов, которые необходимо открыть между контроллерами домена и контроллерами домена поставщиков. Если их контроллеры домена или серверы приложений скомпрометированы, скомпрометированные компьютеры поставщиков могут иметь прямой доступ на сетевом уровне для атаки на контроллеры вашего домена.
Злоумышленники также могут скомпрометировать хэш ваших учетных записей, которые проходят аутентификацию в системах поставщика, и использовать эти скомпрометированные учетные данные для получения доступа к вашей среде.
Федеративные решения обычно намного лучший выбор.