Мы работаем над развертыванием ADFS для SSO с o365.
У нас есть консалтинговая фирма, которая занимается настройкой нашего брандмауэра.
Сегодня, пытаясь заставить их настроить DMZ для меня, чтобы установить мой прокси-сервер ADFS, консультант попытался убедить меня просто открыть порт 443 непосредственно для сервера ADFS и вообще не использовать прокси. Он сказал мне, что сейчас такая конфигурация стала стандартной практикой.
Из-за характера нашего бизнеса у нас очень строгие требования к безопасности, в том числе запрет на открытие внутренних серверов извне.
У меня вопрос: он просто выпустил дым, потому что был ленив и не хотел настраивать DMZ, или у него есть законная точка зрения?
О черт возьми, нет!
НЕ РАЗМЕЩАЙТЕ ОСНОВНОЙ СЕРВЕР ADFS В ИНТЕРНЕТ!
Существует определенная причина, по которой была изобретена роль прокси, и размещение вашего основного блока ADFS в Интернете не является разумной идеей. В первую очередь потому, что основной сервер по умолчанию настроен так, чтобы разрешать только проверку подлинности на основе Windows, что означает, что любой может отправлять запросы и пытаться использовать грубую силу. Хуже того, если они получают пароль, у них теперь есть действительное имя пользователя и пароль в вашем домене, худший вид боли.
Однако прокси-сервер использует подход на основе веб-форм, чтобы уменьшить угрозу, заставляя пользователей за пределами вашего корпоративного брандмауэра входить в систему через веб-форму. Если они проходят, он возвращает либо файл cookie, либо токен перенаправления, который использует доверенная служба (см. O365).
В любом случае, это напрямую нарушает рекомендованную Microsoft настройку и, конечно же, не пройдет проверку безопасности. Кроме того, поскольку вы предоставляете прокси только трафик портов 80 и 443, было бы несложно просто перенаправить только эти два порта через определенный IP-адрес на ваш прокси (или прокси с балансировкой нагрузки). Тем не менее, DMZ - это разумный шаг, особенно если у вас есть другие общедоступные службы.
Однако все зависит от того, что делает этот консультант. Если они обрабатывают брандмауэр перед сервером ADFS с чем-то вроде TMG, тогда он может выполнять роль прокси и представлять аутентификацию веб-форм внешнему клиенту вместо того, чтобы просто открывать дыру непосредственно в 443 на внутреннем ADFS 2.0. сервер.
Я на той же стороне, что абсолютно не открываю доступ к внутреннему серверу ADFS напрямую в Интернет. Независимо от того, насколько безопасно кто-то пытается мне это сказать, вы все равно говорите о прямом открытии доступа к серверу, присоединенному к домену, общедоступному Интернету.
Присоединение прокси-серверов к домену не требуется. Еще одно преимущество их использования.
-E