Active Directory и безопасность. Часть 7. Виртуализация и защита контроллеров домена

 СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, msv121@mail.ru

Active Directory и безопасность

Часть 7. Виртуализация и защита контроллеров домена

Безопасность службы каталога Active Directory требует решения многих задач [1-7]. Нетрудно заметить, что обеспечение безопасности контроллеров доменов (DC) оказывает серьезное влияние на всю систему в целом.

Итак, очевидно, что, компрометация контроллера приводит к компрометации всего домена, а нередко и леса AD. В предыдущей статье [6] мы посмотрели, что нового в Active Directory с появлением Windows Server 2008, Windows Server 2012, и как эти нововведения могут помочь защитить контроллеры домена. В этой статье поговорим о виртуализации контроллеров домена и о том, как можно их защитить.

Виртуализация – как это работает

Виртуализация серверов осуществляется с помощью гипервизоров. Гипервизор – это программное или микропрограммное обеспечение, которое позволяет виртуализировать ресурсы системы. Гипервизоры бывают двух типов.

• Гипервизоры первого типа работают непосредственно на оборудовании, без родительской ОС общего назначения. Пример: Microsoft Hyper-V, VMware vSphere, Citrix XenServer.
• Гипервизоры второго типа работают как приложения в рамках родительской ОС, в качестве примера таких гипервизоров можно привести следующее ПО: VMware Workstation и Oracle VirtualBox.

Для размещения контроллеров доменов рекомендуется использовать гипервизоры первого типа. Основываясь на своей практике, замечу, что самыми популярными для виртуализации серверов, и в частности DC, являются гипервизоры Microsoft Hyper-V, VMware vSphere. Если рассматривать рекомендации компании Microsoft, то для размещения DC в виртуальной среде стоит прибегнуть к Hyper-V Windows Server 2012/2012 R2.

Использование виртуальных контроллеров домена имеет свои преимущества и недостатки, и, прежде чем их использовать в своей инфраструктуре, необходимо хорошо обдумать степень их влияния на безопасность компании.

Преимуществ использования виртуальных контроллеров домена

Рассмотрим ряд основных преимуществ использования виртуальных контроллеров домена:

• Консолидация: можно разместить несколько виртуальных контроллеров домена и других виртуальных серверов приложений на одном физическом сервере, благодаря чему можно повысить эффективность использования серверов.
• Сокращение расходов на физическую инфраструктуру: виртуализация позволяет сократить количество физических серверов и связанного с ними ИТ-оборудования, а отсюда вытекает экономия электроэнергии, затрат наохлаждение, пространства серверных комнат и прочее.
• Повышение доступности: благодаря обеспечению отказоустойчивости виртуальных машин средствами среды виртуализации и системы резервного копирования виртуальных машин обеспечить быстрое восстановление системы в критических ситуациях.
• Масштабируемость: если возникает задача развертывания нового сервиса, можно просто создать новую виртуальную машину.
• Эмуляция устройств: виртуальные машины могут создавать представления устройств, которых физически нет.
• Тестирование: появляется возможность построения тестовой среды, в том числе с использованием настройки рабочей конфигурации DC, и проведения тестирования изменений в AD на небольшом количестве оборудования.