СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, msv121@mail.ru
Active Directory и безопасность
Часть 7. Виртуализация и защита контроллеров домена
Безопасность службы каталога Active Directory требует решения многих задач [1-7]. Нетрудно заметить, что обеспечение безопасности контроллеров доменов (DC) оказывает серьезное влияние на всю систему в целом.
Итак, очевидно, что, компрометация контроллера приводит к компрометации всего домена, а нередко и леса AD. В предыдущей статье [6] мы посмотрели, что нового в Active Directory с появлением Windows Server 2008, Windows Server 2012, и как эти нововведения могут помочь защитить контроллеры домена. В этой статье поговорим о виртуализации контроллеров домена и о том, как можно их защитить.
Виртуализация – как это работает
Виртуализация серверов осуществляется с помощью гипервизоров. Гипервизор – это программное или микропрограммное обеспечение, которое позволяет виртуализировать ресурсы системы. Гипервизоры бывают двух типов.
- Гипервизоры первого типа работают непосредственно на оборудовании, без родительской ОС общего назначения. Пример: Microsoft Hyper-V, VMware vSphere, Citrix XenServer.
- Гипервизоры второго типа работают как приложения в рамках родительской ОС, в качестве примера таких гипервизоров можно привести следующее ПО: VMware Workstation и Oracle VirtualBox.
Для размещения контроллеров доменов рекомендуется использовать гипервизоры первого типа. Основываясь на своей практике, замечу, что самыми популярными для виртуализации серверов, и в частности DC, являются гипервизоры Microsoft Hyper-V, VMware vSphere. Если рассматривать рекомендации компании Microsoft, то для размещения DC в виртуальной среде стоит прибегнуть к Hyper-V Windows Server 2012/2012 R2.
Использование виртуальных контроллеров домена имеет свои преимущества и недостатки, и, прежде чем их использовать в своей инфраструктуре, необходимо хорошо обдумать степень их влияния на безопасность компании.
Преимуществ использования виртуальных контроллеров домена
Рассмотрим ряд основных преимуществ использования виртуальных контроллеров домена:
- Консолидация: можно разместить несколько виртуальных контроллеров домена и других виртуальных серверов приложений на одном физическом сервере, благодаря чему можно повысить эффективность использования серверов.
- Сокращение расходов на физическую инфраструктуру: виртуализация позволяет сократить количество физических серверов и связанного с ними ИТ-оборудования, а отсюда вытекает экономия электроэнергии, затрат наохлаждение, пространства серверных комнат и прочее.
- Повышение доступности: благодаря обеспечению отказоустойчивости виртуальных машин средствами среды виртуализации и системы резервного копирования виртуальных машин обеспечить быстрое восстановление системы в критических ситуациях.
- Масштабируемость: если возникает задача развертывания нового сервиса, можно просто создать новую виртуальную машину.
- Эмуляция устройств: виртуальные машины могут создавать представления устройств, которых физически нет.
- Тестирование: появляется возможность построения тестовой среды, в том числе с использованием настройки рабочей конфигурации DC, и проведения тестирования изменений в AD на небольшом количестве оборудования.