Active Directory в облаке (часть 1)

Опубликовано: 7 Марта, 2023
Active Directory в облаке (часть 1)

Введение

В моей предыдущей серии статей из трех частей на нашем родственном сайте WindowsNetworking.com под названием я представил общий обзор некоторых новых функций и функций следующего (а некоторые говорят, что последнего) Microsoft. клиентская операционная система, выпуск которой ожидается в конце этого года. Мы рассмотрели как изменения интерфейса, так и некоторые бизнес-ориентированные функции, такие как унифицированный магазин приложений, Windows как услуга (WaaS), а также новые или улучшенные корпоративные механизмы безопасности, такие как предотвращение потери данных (DLP). поддержка биометрии и безопасная интеграция обмена данными между несколькими устройствами.

Кое-что, что я не упомянул в этой статье или в моей предыдущей статье под названием является одной из самых важных причин, по которой специалисты по безопасности приветствуют эту последнюю версию ОС: интеграция с Azure Active. Каталог. Windows 10 станет первой клиентской операционной системой, созданной для преодоления разрыва между локальными и облачными сетями, предоставляя пользователям удобство и безопасность.

История и эволюция служб каталогов

Сетевые администраторы Windows хорошо знакомы с Active Directory, но, хотя может показаться, что AD существовала всегда, она не была частью почтенной Windows NT Server — операционной системы, которая осмелилась бросить вызов Novell NetWare. NetWare доминировала на рынке серверов большую часть 1990-х, отчасти благодаря своей глобальной службе каталогов NDS, которая была представлена в NetWare v4 в 1993 году.

Windows NT Server 3.1 также вышла в 1993 году. У него была элементарная служба каталогов, службы каталогов NT (NTDS), но модель домена NT была плоской и не очень масштабируемой. Поскольку Microsoft стремилась привлечь корпоративный рынок, где Novell, казалось, держала мертвую хватку, им было необходимо создать более сложную и расширяемую версию службы каталогов, которая могла бы конкурировать с NDS.

Службы каталогов являются важными компонентами больших IP-сетей, поскольку они служат средством для хранения, организации и предоставления информации об в сети. К объектам относятся пользователи, компьютеры, принтеры, файлы, папки — все ресурсы, находящиеся в сети. Службы каталогов определяют и правила, регулирующие идентификацию сетевых объектов.

Объекты имеют атрибуты, которые являются свойствами объекта. Например, объект пользователя имеет такие атрибуты, как отображаемое имя, адрес электронной почты, номер телефона и т. д., а также атрибуты безопасности, такие как memberOf, в котором перечислены группы, к которым принадлежит учетная запись пользователя, и многие другие. Объекты сгруппированы в классы, а каталогов определяют все объекты и атрибуты, которые каталог может использовать для хранения информации. Без служб каталогов пользователям и приложениям было бы намного сложнее находить ресурсы в сети.

Войдите в активную директорию

Microsoft представила Active Directory в 1990-х годах, но впервые она была официально выпущена как часть операционной системы Windows 2000 Server на рубеже веков (и тысячелетий). Active Directory была провозглашена революционным продуктом, и действительно, случайно или нет с выпуском Windows 2000 Microsoft начала серьезно завоевывать долю рынка серверов Novell.

Active Directory — это служба каталогов, совместимая с LDAP. Это означает, что он основан на облегченном протоколе доступа к каталогам, который является отраслевым стандартным прикладным протоколом, определенным в RFC (запросы комментариев) IETF (Internet Engineering Task Force). LDAP был продуктом DAP (Directory Access Protocol), который был частью стандартов X.500, разработанных в 1980-х годах.

Службы каталогов LDAP являются иерархическими, поэтому объекты организованы в древовидную структуру. Active Directory использует конструкции лесов, деревьев, доменов, поддоменов и организационных единиц (OU), которые являются контейнерами, содержащими объекты. Принципы безопасности (пользователи и компьютеры) могут быть объединены в группы для более удобного управления. Пользователи, компьютеры или группы могут быть объединены в организационные единицы. Организационные подразделения могут быть вложены в другие подразделения.

OU находятся внутри доменов, которые также могут быть размещены внутри других доменов; это создало «родительский» и «дочерний» домены, которые составляют дерево доменов. Домены в дереве совместно используют непрерывное пространство имен и транзитивные доверительные отношения. Затем несколько доменов можно сгруппировать в леса. Наконец, леса могут быть объединены в федерации. Групповая политика может применяться на различных уровнях каталога, что значительно упрощает управление и централизует безопасность.

Какова обратная сторона?

Все мощные функции Active Directory имеют свою цену — как денежную, так и с точки зрения административного времени и усилий. Очевидно, для этого требуется Windows Server, а передовой опыт требует наличия нескольких контроллеров домена (серверов, отвечающих за вход в систему и аутентификацию доступа для домена AD). Настройка инфраструктуры Active Directory может быть сложным процессом и требует надлежащего планирования, особенно если ваш домен охватывает несколько физических сайтов. В большой сети с множеством доменов и деревьев доверительные отношения могут быть сложными.

Active Directory также является излюбленной целью хакеров и злоумышленников. Если каталог или ваши контроллеры домена перестанут работать, пользователи не смогут получить доступ к каким-либо ресурсам в домене.

Службы каталогов в облаке

Сети Windows уже много лет зависят от Active Directory для поддержания центрального хранилища информации. Теперь появились облачные вычисления, которые оказались прорывной технологией и меняют то, как многие организации используют свои ИТ-услуги.

Многие приложения, которые традиционно использовались локально, полагаются на Active Directory для проверки подлинности и разрешений на доступ. Когда эти приложения перемещаются в облако, становится необходимым расширить вашу Active Directory в облако. Один из способов сделать это — разместить Windows Server, работающий в качестве контроллера домена, на виртуальной машине в общедоступном облаке, таком как Azure или AWS.

Придерживаясь решения Microsoft, это включает в себя подключение вашей локальной сети к виртуальной сети, работающей в Azure, что можно сделать через VPN типа «сеть-сеть». Тогда виртуальная сеть Azure будет функционировать как другая подсеть. Вам потребуется настроить локальные сайты и подсети Active Directory, зарегистрировать DNS-серверы в Azure, создать виртуальную сеть Azure с VPN типа «сеть-сеть», а затем создать новую реплику контроллера домена в Azure. Если вы заинтересованы в том, чтобы пойти по этому пути, вы можете найти более подробные инструкции для всего этого на этом сайте блога TechNet.

Azure Active Directory в помощь

Второй способ расширения служб каталогов в облаке — это настоящая тема этой серии статей. Это сосредоточено на использовании Windows Azure Active Directory. Azure AD был создан специально для обеспечения управления идентификацией и аутентификации для облачных приложений.

Azure AD предоставляет вам службу идентификации, которую можно использовать во всех ваших облачных приложениях, и ее можно использовать как автономную службу каталогов в облаке или синхронизировать с локальной инфраструктурой Windows Server Active Directory. Ваши пользователи получают удобство единого входа как для локальных приложений, так и для облачных приложений — лучшее из обоих миров.

Большим преимуществом Azure AD является то, что он работает со всеми различными вычислительными платформами, которые сейчас используются корпоративными пользователями для доступа к своим рабочим ресурсам в эпоху BYOD: настольные компьютеры Windows, ноутбуки и телефоны, компьютеры Mac OS X, планшеты на базе iOS. и телефоны, и устройства Android. Это позволяет мобильной рабочей силе, которая становится все более и более важной.

Azure Active Directory также поддерживает многофакторную аутентификацию Azure (MFA), которую можно использовать для повышения безопасности доступа к облачным приложениям и службам. Это также помогает защитить учетные записи администратора Azure от компрометации. Он также работает с Office 365 и другими приложениями SaaS и может быть встроен в ваши приложения с помощью SDK. MFA доступен в Azure Active Directory Premium.

Существует три выпуска Azure Active Directory: бесплатная версия поставляется с любой подпиской на Azure. Он обеспечивает единый вход в Azure, Office 365, Google Apps, Dropbox и многие другие популярные программные службы. Следующим шагом является базовая версия, добавляющая управление доступом на основе групп и самостоятельный сброс пароля. Вы также можете публиковать локальные веб-приложения в Azure Active Directory с помощью прокси-сервера приложения, и вы получаете время безотказной работы «три девятки» (99,9%) в SLA.

Премиум-версия для предприятий включает MFA, Microsoft Identity Manager (MIM), самообслуживание для управления группами, а также расширенные отчеты и оповещения о безопасности, а также время безотказной работы «три девятки».

Резюме

Теперь, когда мы заложили основу и предоставили общий обзор того, что такое Azure Active Directory и что она делает, во второй части мы более подробно рассмотрим, как она работает и как ее реализовать в бизнес-сценариях.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023