Planifier une communication sécurisée dans une batterie de serveurs (Windows SharePoint Services)

Mise à jour : 2009-04-16

Dans cet article :

  • Planifier la communication de serveur à serveur

  • Planifier la communication client-serveur

  • Planifier l'utilisation de SSL

Utilisez cet article pour planifier la sécurité des batteries de serveurs. Cet article fournit des conseils sur la sécurisation des communications client-serveur et serveur à serveur.

Les tâches de l'article sont appropriées pour les environnements de sécurité suivants :

  • Informatique hébergée interne

  • Collaboration sécurisée externe

  • Accès anonyme externe

Planifier la communication de serveur à serveur

Si vos serveurs ne sont pas dans un centre de données sûr où la menace d'écoute clandestine du réseau est considérée comme non significative, vous devez utiliser un canal de communication chiffré pour protéger les données envoyées entre les serveurs.

Dans Windows SharePoint Services 3.0, la communication de serveur à serveur dans une batterie de serveurs est importante. La sécurisation des communications permet de garantir que les données sensibles ne seront pas compromises et vous aide également à protéger les serveurs contre les attaques malveillantes ou menaces involontaires.

La figure suivante illustre plusieurs transactions de communication communes entre serveurs dans une batterie de serveurs.

Sécuriser le modèle de communication de la batterie de serveurs

Les transactions de communication communes entre les serveurs d'une batterie de serveurs incluent les suivantes :

  • Modifications de configuration   Les serveurs Web frontaux communiquent avec la base de données de configuration pour transmettre les modifications de configuration des paramètres de la batterie.

  • Demandes de modification   Les demandes utilisateur pour ajouter, supprimer, modifier ou afficher le contenu d'un site sont envoyées directement à la base de données de contenu.

  • Demandes de recherche   Les serveurs Web frontaux communiquent d'abord avec le serveur de recherche pour générer les résultats des requêtes de recherche. Ensuite, ils communiquent avec la base de données de contenu pour satisfaire les demandes de documents spécifiques des utilisateurs dans les résultats de la recherche.

  • Indexation   Le composant d'indexation communique par le biais d'un serveur Web frontal pour analyser le contenu de la base de données de contenu et créer un index.

NoteRemarque :

Dans un environnement Windows SharePoint Services 3.0, les composants de recherche et d'indexation partagent le même rôle de serveur.

Les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) peuvent tous deux être utilisés pour vous aider à protéger les communications entre serveurs grâce au chiffrement du trafic. Chacune de ces méthodes fonctionne bien. Le choix de la méthode à utiliser varie selon les canaux de communication spécifiques que vous sécurisez et les avantages et compromis qui sont les plus appropriés pour votre organisation.

IPsec

IPSec est généralement recommandé pour protéger le canal de communication entre deux serveurs et restreindre les ordinateurs pouvant communiquer les uns avec les autres. Par exemple, vous pouvez protéger un serveur de bases de données en établissant une stratégie qui autorise uniquement les requêtes à partir d’un ordinateur client de confiance, tel qu’un serveur d’applications ou un serveur Web. Vous pouvez également limiter la communication à des protocoles IP spécifiques et aux ports TCP/UDP.

Les exigences et recommandations liées à la mise en réseau pour une batterie de serveurs font d'IPsec une bonne solution car :

  • Tous les serveurs se trouvent sur un réseau local physique (pour améliorer les performances IPsec).

  • Les serveurs reçoivent des adresses IP statiques.

IPsec peut également être utilisé entre les domaines de confiance Windows Server 2003 ou Windows 2000 Server. Par exemple, si vous utilisez IPsec pour sécuriser les communications d'un serveur Web ou d'un serveur d'application dans un réseau de périmètre qui se connecte à un ordinateur exécutant Microsoft SQL Server sur un réseau interne. Pour plus d'informations, voir Sélection de méthodes d'authentification IPSec (en anglais) (https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x40C) (en anglais) dans le Guide de déploiement Windows Server 2003 (en anglais) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x40C) (en anglais) .

Pour plus d'informations sur les environnements recommandés pour IPsec, voir Determining Your IPSec Needs (en anglais) (https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x40C) (en anglais) dans le Guide de déploiement Windows Server 2003 (en anglais) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x40C) (en anglais) .

SSL

Les recommandations générales pour utiliser le protocole SSL consistent à utiliser cette méthode de chiffrement lorsque vous avez besoin d'une protection granulaire de canal pour une application spécifique plutôt que pour toutes les applications et les services s'exécutant sur un ordinateur. SSL doit être implémenté par des applications individuelles. Par conséquent, vous ne pouvez pas utiliser SSL pour chiffrer toutes les communications entre deux hôtes.

En outre, SSL offre moins de souplesse qu'IPsec car il prend seulement en charge l'authentification par le biais de certificats de clé publique. Cependant, SSL fournit plusieurs avantages distincts. De manière plus significative, SSL est pris en charge par un large éventail de serveurs et d'ordinateurs clients, et la maturité de la norme a pratiquement éliminé les problèmes d'interopérabilité.

Scénarios à prendre en compte pour SSL

Il existe plusieurs scénarios qui font du protocole SSL un bon choix, notamment les suivants :

  • Sites d'administration   Le site Administration centrale et les sites d'administration des services partagés peuvent être sécurisés à l'aide de SSL.

  • Déploiement de contenu   Le processus de déploiement de contenu copie les fichiers d'un répertoire de site sur un serveur dans une batterie de serveurs de création ou de transit vers un répertoire de site correspondant sur un ou plusieurs serveurs dans une batterie de serveurs de publication. Dans ce scénario, IPsec peut ne pas être pratique si les batteries de serveurs sont dans des zones de réseau différentes ou s'il y a un volume élevé de contenu à déployer ou un grand nombre de serveurs vers lesquels sera déployé le contenu. SSL peut être utilisé pour cibler une communication sécurisée dans ces transactions de communication spécifiques.

  • Fournisseurs de services partagés entre batteries de serveurs   Si des batteries de serveurs enfants consomment des services partagés d'une batterie de serveurs parent, les données sensibles sont partagées entre les batteries de serveurs.

Planifier la communication client-serveur

Il peut ne pas être pratique de sécuriser toutes les communications client-serveur. Toutefois, il existe plusieurs scénarios qui justifient la configuration supplémentaire requise pour sécuriser les communications entre les ordinateurs clients et les serveurs de votre batterie de serveurs :

  • Collaboration sécurisée avec des partenaires   Les partenaires ont accès et contribuent aux applications dans un environnement extranet.

  • Accès des employés distants   Les employés accèdent aux données internes à distance.

  • Clients qui ont accès aux données sensibles ou en fournissent   Les clients ouvrent une session et fournissent des données sensibles ou y accèdent. Par exemple, il peut être demandé aux clients d'ouvrir une session sur un site Internet de News ou de fournir des informations personnelles pour effectuer une transaction.

  • Authentification de base ou par formulaires   Si vous utilisez l'une ou l'autre de ces méthodes d'authentification, les informations d'identification sont envoyées en clair. Au minimum, sécurisez la communication client-serveur pour la page d'ouverture de session.

SSL est généralement recommandé pour sécuriser les communications entre les utilisateurs et les serveurs lorsque des informations sensibles doivent être sécurisées. SSL peut être configuré pour exiger l'authentification du serveur ou du serveur et du client.

Planifier l'utilisation de SSL

SSL peut réduire les performances de votre réseau. Il existe plusieurs instructions communes que vous pouvez utiliser pour optimiser les pages qui utilisent SSL. Tout d'abord, utilisez SSL uniquement pour les pages qui le requièrent. Cela inclut des pages qui contiennent ou capturent des données sensibles, telles que des mots de passe ou d'autres données personnelles. Utilisez SSL uniquement si les conditions suivantes sont remplies :

  • Vous souhaitez chiffrer les données de la page.

  • Vous voulez vous assurer que le serveur auquel vous envoyez les données est le serveur que vous attendez.

Pour les pages où vous devez utiliser le protocole SSL, procédez comme suit :

  • Assurez-vous que la taille de la page est la plus petite possible.

  • Évitez d'utiliser des graphismes dont la taille des fichiers est volumineuse. Si vous utilisez des graphismes, utilisez ceux qui ont les plus petites tailles de fichier et de résolution.

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.