У нас есть сеть серверов и компьютеров в домене AD. На одном из серверов работает система управления на основе PHP (ERP), и мы хотим, чтобы она была доступна в Интернете. Когда я говорю об Интернете, я не имею в виду Google или что-то еще, а просто открытый порт с поддоменом нашего веб-сайта. Меня беспокоит не безопасность самой ERP (логин PHP и т. Д.), А то, как она должна (или нет) быть отделена от сети. Я много читал о том, что у вас не должно быть общедоступного сервера в домене AD, но каковы варианты управления им, кроме физического доступа? И даже если он будет у нас в AD, мы не сможем разместить его в DMZ. Мы думали о VPN, но она немного громоздка для пользователей, хотя вполне может быть нашим единственным вариантом. Надеюсь, я понимаю, потому что я немного не понимаю, как это должно быть настроено.
Спасибо.
Вы можете установить второй сетевой адаптер и разместить сервер в нескольких домах, если программное обеспечение его поддерживает.
Риск для вашего домена AD зависит от того, используются ли учетные данные для входа на этот сервер. Если это так, они подвержены риску, и вы, вероятно, захотите управлять им с помощью учетной записи, у которой есть разрешения только на этот ящик.
Да, кто-то, владеющий им, может представлять дополнительный риск, если вы этого не заметите, но пока вы не входите в систему с помощью администраторов домена и т.п., это не обязательно немедленно скомпрометирует весь домен.
Однако в долгосрочной перспективе было бы лучше получить дополнительное сетевое оборудование и настроить DMZ, отделить ее от вашей внутренней сети и открыть только абсолютно необходимые порты обратно в AD или что-то еще внутреннее.