Planen der Sicherheit für eine externe Umgebung zur sicheren Zusammenarbeit (Office SharePoint Server)
Inhalt dieses Artikels:
Schützen der Back-End-Server
Sichern der Client-Server-Kommunikation
Sichern der Website für die Zentraladministration
Sichern von Verwaltungssites für Anbieter für gemeinsame Dienste
Prüfliste für ein sicheres Design
Planen der Verstärkung der Sicherheit für Serverrollen
Planen sicherer Konfigurationen für Office SharePoint Server-Features
Sicherheitsrichtlinien für eine externe Sicherheitsumgebung dienen dazu, Inhalte in einem Extranet bereitzustellen, um mit Teilnehmern, die keinen allgemeinen Zugriff auf das Unternehmensnetzwerk haben, gemeinsam an Inhalten zu arbeiten. In dieser Umgebung können externe Partner an einem Workflow teilnehmen oder gemeinsam mit Mitarbeitern der Organisation an Inhalten arbeiten.
Für eine externe sichere Zusammenarbeitsumgebung gibt es besondere Empfehlungen. Nicht alle diese Empfehlungen sind für alle Lösungen gleichermaßen geeignet.
Schützen der Back-End-Server
Für eine externe sichere Zusammenarbeit sind mit dem Internet verbundene Server erforderlich. Die Gefährdung, die durch den Datenverkehr im Internet entsteht, können Sie durch den Schutz von Back-End-Servern begrenzen:
Schützen der Datenbankserver Richten Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Datenbankservern ein. Einige Umgebungen schreiben vor, dass Datenbankserver in einem internen Netzwerk und nicht direkt in einer Extranetumgebung gehostet werden.
Schützen von Anwendungsservern Schützen Sie Anwendungsserver wenigstens durch Fordern der Absicherung der Kommunikation zwischen Computern einer Serverfarm mit dem IPsec-Protokoll (Internet Protocol security). Zusätzlich können Sie Anwendungsservern die Firewall vorschalten, die zum Schutz der Datenbankserver verwendet wird. Sie können auch eine zusätzliche Firewall zwischen Front-End-Webservern und Anwendungsservern verwenden.
Schützen der Indexrolle Die Indexkomponente kommuniziert direkt über einen Front-End-Webserver, um durch die Inhalte von Websites zu crawlen. Zum Schützen dieses Kommunikationskanals empfiehlt es sich, einen dedizierten Front-End-Webserver für die Verwendung durch einen oder mehrere Indexserver zu konfigurieren. Dadurch wird die Crawlingkommunikation auf einem Front-End-Webserver isoliert, auf den Benutzer nicht zugreifen können. Konfigurieren Sie außerdem Internetinformationsdienste (Internet Information Services, IIS), dass SiteData.asmx (der SOAP-Dienst für den Crawler) nur Zugriffe vom Indexserver (oder anderen Crawlern) zulässt. Durch das Bereitstellen eines dedizierten Front-End-Webservers für das Crawling von Inhalten wird auch die Leistung verbessert, da die Last für die wichtigsten Front-End-Webserver verringert wird, wodurch sich auch die Leistung für die Benutzer verbessert.
Sichern der Client-Server-Kommunikation
Die sichere Zusammenarbeit in einer Extranetumgebung hängt von der sicheren Kommunikation zwischen Clientcomputern und der Serverfarmumgebung ab. Verwenden Sie gegebenenfalls SSL (Secure Sockets Layer), um die Kommunikation zwischen Clientcomputern und Servern zu sichern. Um die Sicherheit zu erhöhen, sollten Sie Folgendes in Erwägung ziehen:
Legen Sie fest, dass auf Clientcomputern Zertifikate erforderlich sind. SSL kann implementiert werden, ohne dass Clientzertifikate erforderlich sind. Sie können die Sicherheit im Rahmen der externen Zusammenarbeit erhöhen, indem Sie festlegen, dass auf allen Clientcomputern Zertifikate erforderlich sind.
Verwenden Sie IPsec. Wenn Clientcomputer IPsec unterstützen, können Sie IPsec-Regeln konfigurieren, um im Vergleich zu SSL ein höheres Maß an Sicherheit zu erzielen.
Sichern der Website für die Zentraladministration
Da externe Benutzer auf die Netzwerkzone zugreifen können, ist es unerlässlich, die Website für die Zentraladministration so zu sichern, dass der externe Zugriff blockiert und der interne Zugriff geschützt wird:
Vergewissern Sie sich, dass die Website für die Zentraladministration nicht auf einem Front-End-Webserver gehostet wird.
Blockieren Sie den externen Zugriff auf die Website für die Zentraladministration. Richten Sie dazu eine Firewall zwischen den Front-End-Webservern und dem Server ein, auf dem die Website für die Zentraladministration gehostet wird.
Konfigurieren Sie die Website für die Zentraladministration mithilfe von SSL. Dadurch wird die Kommunikation zwischen internem Netzwerk und der Website für die Zentraladministration gesichert.
Sichern von Verwaltungssites für Anbieter für gemeinsame Dienste
Verwaltungssites für Anbieter für gemeinsame Dienste (Shared Services Provider, SSP) werden auf Front-End-Webservern installiert (eine Website pro SSP). Jede SSP-Verwaltungssite wird in einer dedizierten Webabwendung erstellt. Zur Sicherung dieser Websites wird u. a. Folgendes empfohlen:
Konfigurieren Sie alle SSP-Verwaltungssites mit SSL. Dadurch wird eine sichere Kommunikation zwischen dem internen Netzwerk und den Verwaltungssites sichergestellt.
Konfigurieren Sie eine Richtlinie für die Webanwendung, um den Zugriff durch externe Benutzer zu verhindern.
Prüfliste für ein sicheres Design
Verwenden Sie diese Designcheckliste zusammen mit den Checklisten unter Übersicht: Planen der Serverfarmsicherheit (Office SharePoint Server).
Topologie
[ ] |
Schützen Sie Back-End-Server, indem Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Anwendungs- und Datenbankservern einrichten. |
[ ] |
Planen Sie einen dedizierten Front-End-Webserver für das Crawling von Inhalten. Nehmen Sie diesen Front-End-Webserver nicht in die Front-End-Webrotation für Endbenutzer auf. |
Logische Architektur
[ ] |
Blockieren Sie den Zugriff auf die Website für die Zentraladministration, und konfigurieren Sie für diese Website SSL. |
[ ] |
Sichern Sie SSP-Verwaltungswebsites, indem Sie diese Websites mit SSL konfigurieren, indem Sie diese Websites in einer speziellen Webanwendung bereitstellen und indem Sie eine Richtlinie erstellen, mit der der externe Zugriff auf diese Websites verweigert wird. |
Planen der Verstärkung der Sicherheit für Serverrollen
In der folgenden Tabelle werden zusätzliche Empfehlungen für die Verstärkung der Sicherheit für eine externe sichere Zusammenarbeitsumgebung beschrieben.
| Komponente | Empfehlung |
|---|---|
Ports |
Blockieren Sie den externen Zugriff auf den Port für die Website für die Zentraladministration. |
IIS |
Schränken Sie SiteData.asmx (den SOAP-Crawlerdienst) so ein, dass nur der Indexserver (oder ein anderer Crawler) auf die Website zugreifen kann. |
Planen sicherer Konfigurationen für Office SharePoint Server-Features
Die folgende Tabelle enthält zusätzliche Empfehlungen zur Sicherung von Microsoft Office SharePoint Server 2007-Features. Diese Empfehlungen eignen sich für eine externe Umgebung zur sicheren Zusammenarbeit.
| Feature oder Bereich | Empfehlung |
|---|---|
Authentifizierung |
Verwenden Sie SSL für authentifizierte Benutzer. Dies trifft auf den anonymen Benutzer, der die Seite besucht, nicht zu. |
Autorisierung |
Verwenden Sie eine Sicherheitsrichtlinie, um Berechtigungen für externe Benutzer zu begrenzen. (Erstellen Sie Verweigerungsrichtlinien, um die Aktionen externer Benutzer einzuschränken.) |
Meine Websites |
Gewähren Sie das Recht zum Erstellen persönlicher Websites nur Benutzern, die persönliche Websites erstellen müssen. |
InfoPath Forms Server |
Deaktivieren Sie den InfoPath Forms Services-Webdienstproxy. |
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Planung und Architektur für Office SharePoint Server 2007, Teil 2 (in englischer Sprache)
Planen einer Extranetumgebung für Office SharePoint Server (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007