• Articolo

Approfondimento su SharePoint Protezione delle comunicazioni esterne di SharePoint

Pav Cherny

Contenuti

Considerazioni sulla progettazione di topologia
Autenticazione
Configurazione per il supporto del sito TLS
Configurazione di IIS per i certificati SSL
Configurazione di ISA Server
Semplificare il problema.

Crittografia del traffico di SharePoint in scenari accessibili da Internet mediante TLS (Transport Layer Security) SSL (Secure Sockets Layer) è un approccio familiare per la protezione delle comunicazioni. Fin quando Netscape introdotto SSL come mezzo di protezione dei dati tramite crittografia del 1995 implementato nella parte superiore del protocollo HTTP, comunicazioni client/server basate sul Web sono utilizzata molto sui certificati SSL. Le tecnologie SharePoint sfruttano TLS tramite IIS con. NET, che forniscono la piattaforma server Web che supportano TLS sottostante. Tuttavia, l'attivazione di TLS per siti di SharePoint è solo un aspetto di protezione delle comunicazioni esterne. È necessario considerare anche altri aspetti, ad esempio basato su host e i firewall, progettazione topologia di rete e il sottostante Active Directory e le dipendenze di rete fisica.

Nella colonna 2009 luglio, ho parlato di opzioni di protezione comunicazioni del server nell'ambiente interno tramite Criteri di integrità mediante protezione accesso alla rete () con IPSec, seguente generale SharePoint consigliate per la protezione. Uno dell'edificio chiave di protezione di comunicazione interna è conoscere l'identità di utenti interni e di computer e, in base a ciò, creazione di criteri per concedere e limitare l'accesso. Questo presupposto è efficace in un ambiente autenticato, ad esempio uno che utilizza Active Directory e Kerberos o NT LAN Manager (NTLM), ma è incompleta in ambienti in cui almeno alcuni gli utenti sono anonimi o in cui una classe di utenti, ad esempio fornitori o partner, è necessario applicati criteri diversi. La protezione nel contesto di siti Internet richiede un approccio simile dell'utilizzo di più livelli.

Uno dei principi di protezione comunicazioni esterne sottostanti blocca prima accesso non autorizzato possibile, mentre la capacità di eseguire controlli di protezione e la registrazione per gli utenti non autenticati e autenticati. L'approccio tipico per soddisfare questa esigenza consiste nell'utilizzare, in via minimo, un firewall al margine della rete per il controllo utente di autenticazione e con informazioni sullo stato del traffico HTTP. Tuttavia, TLS pone una sfida al controllo del pacchetto con informazioni sullo stato, poiché il firewall deve essere in grado decrittografare i pacchetti, verifica, crittografare tali e passarli a un server front-end per l'elaborazione. Inoltre, il firewall (e di qualsiasi soluzione di bilanciamento del carico) deve mantenere le sessioni HTTPS. Internet Security e Acceleration (ISA) Server 2006, il server di Intelligent Application Gateway (IAG) 2007 per ottenere una soluzione firewall che interagisce con IIS e SharePoint per fornire un mezzo per TLS compatibile con protezione della comunicazione.

Informazioni sulla comunicazione TLS in SharePoint è necessario conoscere modo l'architettura e topologia hosting influenzano l'IIS e qualsiasi firewall gestire i certificati SSL. Di conseguenza, esistono delle considerazioni per la progettazione e distribuzione di soluzioni SharePoint che sono accessibili da Internet. L'architettura di SharePoint include alcuni aspetti di configurazione complesse oltre a considerazioni di IIS, SSL e firewall, ad esempio mapping di accesso alternativo (modalità Approvazione amministratore), l'autenticazione e le zone di SharePoint.

Considerazioni sulla progettazione di topologia

Lo sviluppo di più livelli di protezione per i siti SharePoint inizia con la definizione la topologia della rete fisica. Se è possibile ridurre o eliminare il traffico indesiderato prima che raggiunge il server front-end e back-end, non solo si ridurre il carico del server ma anche ridurre i rischi di virus, posta indesiderata e malware di traffico dannoso.

La topologia di rete che supporta TLS per SharePoint varia a seconda dello scenario di utilizzo necessario per l'organizzazione. Nella figura 1 viene illustrata una struttura decisionale con alcune considerazioni e le decisioni importanti della topologia.

È possibile semplificare ulteriormente le decisioni separando le varie opzioni topologia in tre aree:

  • Traffico prima che raggiunge il firewall.
  • Traffico tra il firewall e la rete interna.
  • Traffico nella rete interna.

fig1.gif

Figura 1 Considerazioni sulla decisione topologie accessibili da Internet.

In termini di configurazione TLS, effettuare questa distinzione è essenziale perché è necessario configurare regole di routing e il firewall per bridging di connessioni HTTPS tra le richieste Internet e i server front-end di IIS, configurare IIS per gestire le applicazioni di SharePoint e assicurarsi che le risorse interne siano protetti. Seconda della topologia, potrebbe essere necessario poter attraversare tutti e tre queste aree attraverso più router e firewall il traffico TLS. È opportuno dare un'occhiata tre opzioni di topologia per i siti accessibili da Internet e considerare il traffico TLS di influenza le topologie. Nella figura 2 mostra una base di "margine"topologia con un firewall per proteggere server interni.

fig2.gif

Figura 2 Topologia bordo di base con un firewall singolo.

Nella topologia di bordo, un firewall di rete singola si trova tra gli utenti esterni e siti di SharePoint interni. Ha il vantaggio dell'utilizzo di un unico ambiente di Active Directory per gli utenti interni ed esterni, che semplifica le operazioni di manutenzione e amministrazione. Per proteggere il traffico tramite TLS, è possibile configurare il firewall per fungere anche da un proxy inverso. Il concetto di un proxy inverso integrato ad esempio ISA Server è essenziale per la protezione dei siti Internet, perché il proxy inverso intercetta le richieste in ingresso, possibile autenticare gli utenti esterni, decrittografa il traffico TLS, esamina in base alle regole del firewall e inoltra le richieste ai server front-end. Pubblico URL possono differire dagli URL interni, in modo che il proxy inverso deve abbia un mezzo per eseguire la conversione dei collegamenti per convertire gli URL esterni in URL interno. IAG Server fornisce funzionalità di protezione aggiuntive, ad esempio endpoint, basato su stato di autorizzazione attraverso un criterio di accesso basato su integrità del computer client e identità utente e la possibilità di convertire i collegamenti per gli URL interni di SharePoint quando si utilizza Outlook Web Access.

Per aggiungere un ulteriore livello alla topologia ed esercitare maggiore controllo sulla comunicazione tra server, è possibile creare una rete perimetrale che ospita il server SharePoint. In una rete perimetrale, i server di SharePoint sono isolati da Internet da un firewall e dalla rete interna da un firewall. Questa è una topologia in fronte/retro, come illustrato in figura 3.

fig3.gif

Figura 3 Una topologia “ back-to-back ” con due firewall.

Naturalmente, non si è limitati a solo due firewall in una topologia in fronte/retro. È possibile implementare ulteriori livelli separati da firewall o router per ulteriore separare i ruoli di SharePoint. Ad esempio, è possibile utilizzare un approccio di tre livelli, l'inserimento di ogni livello in una zona DEMILITARIZZATA, in cui il server front-end sono primo, seguita da un server applicazioni, database e di indice di ricerca e concluso da server di Active Directory/DNS. È inoltre possibile personalizzare una topologia in fronte/retro per includere un ambiente di gestione temporanea interno in una farm separata e pubblicarlo della farm nella rete perimetrale. È inoltre possibile dividere la farm di SharePoint tra la rete perimetrale e la rete interna per creare una topologia in fronte/retro di divisione, come illustrato in figura 4. In linea con l'approccio dell'utilizzo di livelli di protezione nella topologia di server front-end si risiedono nella rete perimetrale e i server di back-end che esegue SQL Server risiedono nella rete interna. I ruoli rimanenti, ad esempio indice, la ricerca e l'amministrazione centrale, possono essere una rete.

fig4.gif

Figura 4 In una topologia in fronte/retro “ dividere ”, ruoli del server è possibile impostare nella DMZ o alla rete interna.

Collocare il server di ricerca nella rete interna per la ricerca ottimale e le prestazioni di ricerca per indicizzazione. È possibile dedicare il server di ricerca alla ricerca per indicizzazione. Tenere presente che la topologia in fronte/retro divisione richiede un trust unidirezionale tra il perimetro e interni e ambienti di Active Directory per supportare la comunicazione.

Risorse

Sito Web Prodotti e tecnologie SharePoint

Windows SharePoint Services TechCenter

Centro per sviluppatori Windows SharePoint Services

Blog del team di Microsoft Prodotti e tecnologie SharePoint

Autenticazione

Per determinare la configurazione di autenticazione appropriato per la protezione delle comunicazioni esterne può risultare complessa, a causa delle opzioni disponibili e i livelli della topologia quali l'autenticazione e autorizzazione eseguita.

L'ambiente potrebbe, ad esempio, supporto di RSA SecureID, incorporare NPS (Network Policy Server) o utilizzare una directory personalizzata basata su LDAP Lightweight Directory Access Protocol. Alla fine, gli aspetti rilevanti l'autenticazione di protezione delle comunicazioni esterne di SharePoint includono l'autenticazione degli utenti interni ed esterni e l'autenticazione di IIS per siti di SharePoint.

È opportuno semplificare questi aspetti ulteriormente tracciando il percorso di comunicazione di richieste dagli utenti esterni di siti di SharePoint per vedere come si verifica l'autenticazione e autorizzazione.

  1. Un utente esterno effettua una richiesta che viene indirizzata al firewall. Se il firewall è un server di ISA configurato per utilizzare l'autenticazione basata su form (FBA), l'utente viene visualizzato un form di accesso e autenticato. La richiesta viene quindi inviata a un server front-end.
  2. IIS sul server front-end accetta la richiesta;Determina il sito associato all'URL;Controlla la configurazione di autenticazione per il sito;autentica il traffico;e lo passa a SharePoint per l'autorizzazione.
  3. SharePoint esegue l'autorizzazione. Autorizzazioni del sito di SharePoint e autorizzazione sono di fuori dell'ambito di questo articolo, poiché TLS è configurato per ogni sito a livello di IIS. Per ulteriori informazioni sull'autenticazione e autorizzazione di SharePoint, vedere piano autenticazione metodi (Office SharePoint Server).

Configurazione per il supporto del sito TLS

SharePoint si avvale del IIS topologia sottostante e configurazione di autenticazione per fornire le funzionalità necessarie per supportare TLS. Quando il traffico venga instradato verso SharePoint, ha già passato attraverso il firewall e stati gestito da IIS. Configurazione di siti di SharePoint per supportare TLS è più un'attività di informare SharePoint dell'ambiente sottostante per ogni sito più direttamente che specifica i certificati SSL, creazione account di servizio e così via. Tuttavia, è importante considerare due dettagli specifici di SharePoint quando si distribuisce TLS: zone e modalità approvazione alternativo Access Mapping (amministratore). Entrambi sono configurati nel sito Amministrazione centrale in Gestione applicazioni.

Durante la creazione o estensione di un'applicazione Web, è possibile specificare le zone e immettere i dettagli sull'ambiente utilizzato SharePoint per creare un gruppo iniziale di AAMs (vedere figura 5). Le considerazioni chiave dal punto di vista della protezione sono il provider di autenticazione e se il server ISA utilizza TLS per comunicare con il server front-end, o consente di terminare le richieste HTTPS dagli utenti esterni a livello del firewall e comunica tramite HTTP.

fig5.gif

Nella figura 5 SSL e altre opzioni di guration confi per un sito di SharePoint.

Anche se utilizza TLS per la comunicazione da ISA Server front-end crea ulteriore l'overhead, di elaborazione fornisce una soluzione crittografata end-to-end ed è il metodo preferito. Chiusura TLS in ISA Server può inoltre di suddividere alcuni scenari di utilizzo, ad esempio quando l'utilizzo di Web part personalizzate che memorizzano gli URL in un database SQL Server. Il processo è simile per enabeing un sito esistente per TLS. È necessario controllare il pulsante di opzione utilizza SSL (Secure Sockets Layer), configurare altre opzioni e quindi passare le impostazioni della modalità Approvazione amministratore e verificare che siano configurati correttamente.

Configurazione di zona e la modalità Approvazione amministratore è correlata. SharePoint utilizza il concetto di zone per consentire logici distinzioni tra parti della topologia, ad esempio Internet, extranet e intranet e gli URL disponibili per le parti. Le definizioni della modalità Approvazione amministratore specificare l'intestazione di URL aspetto agli utenti di varie aree quando l'URL è diverso dall'URL interno. Se l'URL interno corrisponde a quello un URL pubblico che utilizza un nome di dominio completo (FQDN), non è necessario configurare la modalità Approvazione amministratore;SharePoint non che automaticamente. Per altri scenari, è possibile configurare AAMs per i siti di SharePoint. Troy Starr registrato una descrizione completa di AAMs per SharePoint il blog di team di SharePoint, è possibile trovare in quali ogni amministratore di SharePoint deve conoscere sui mapping di accesso alternativo (parte 1 di 3). È anche importante un aspetto;Configurazione errata della modalità Approvazione amministratore è una delle cause dei problemi di Extranet più diffuso.

Configurazione di IIS per i certificati SSL

Come accennato, attivazione di SSL per un sito di SharePoint viene eseguita a livello di IIS. In IIS7, i certificati SSL sono configurati tramite certificati server. Si trovano sotto la pagina proprietà del server IIS. Microsoft ha già pubblicato istruzioni, considerazioni e scenari di utilizzo da tenere presenti quando si attivano i siti IIS per l'utilizzo di SSL;Tenere presente che autorità di certificazione e IP indirizzo/porta associazione sono particolarmente rilevanti per la protezione dei siti accessibili da Internet. Sono disponibili diverse opzioni per generare un certificato SSL. È possibile utilizzare selfssl.exe, distribuire un'infrastruttura PKI con un attendibili Windows autorità di certificazione (CA) o utilizzare un fornitore commerciale. Per ambienti di laboratorio e scopi di sviluppo, un certificato autofirmato funziona bene, ma è possibile eseguire in problemi di utente per gli ambienti di produzione. A meno che gli utenti accettano il certificato nel browser, verrà chiesto l'accesso a un sito SSL il certificato proviene da una fonte non attendibile. Questo potrebbe comportare per supportare chiamate e confusione, rendendo più semplice distribuire un certificato di produzione da una CA principale.

È possibile utilizzare lo stesso indirizzo IP o la stessa porta per più siti SSL. La semplice ha consiste di utilizzare un indirizzo IP fisso e della stessa porta per ogni sito, in modo che IIS possibile associare il sito l'indirizzo IP e porta. In alternativa, se la configurazione utilizza un dominio principale e più siti secondari, è possibile utilizzare un certificato con caratteri jolly o con più nomi alternativi di sito (SAN). Il processo è principalmente lo stesso di un certificato regolare, ma non è possibile configurare nella schermata 7e IIS in binding di sito. Utilizzare appcmd invece ed eseguire il comando seguente per associare SSL al sito e impostare l'intestazione host: C:\Windows\System32\inetsrv\appcmd impostare /site del sito. nome: < CustomSiteName >/ + Binding. [protocollo = 'https', bindingInformation = "*: 443: < FQDN >]. Se eseguita correttamente, verrà visualizzato un binding SSL con l'intestazione host specificato in binding di sito.

Configurazione di ISA Server

Indipendentemente del se si desidera proteggere un sito SharePoint nuovo o esistente con TLS, è necessario assicurarsi che il traffico può attraversare il firewall. ISA Server sono disponibili diversi metodi che funzionino con SharePoint e consentono l'attraversamento: FBA, HTTPS bridging, collegare traduzione tramite proxy inverso e SharePoint le regole di pubblicazione.

ISA Server utilizza una procedura guidata consente di pubblicare i siti di SharePoint. Questa procedura guidata crea un listener e un "Consenti"regola per consentire il traffico di SharePoint. Prima di eseguire la procedura guidata, è necessario esportare il certificato SSL installato tramite IIS sul server front-end che ospita il sito e importate in ISA Server tramite lo snap-in MMC certificati. Importare il certificato nell'archivio personale account di computer locale. Ciò consente il listener si crea in ISA Server per decrittografare il traffico in ingresso, controllare se contiene e crittografarlo. Per ulteriori informazioni sulla configurazione di ISA Server per SharePoint, vedere autenticazione in ISA Server 2006 e configurazione ISA 2006 per SharePoint 2007.

Quando si configura ISA Server per pubblicare i siti SharePoint abilitati su SSL, interni e URL esterni non sono risolvibili tramite DNS;sono stati configurati gli account utente e autorizzazioni;Le zone di SharePoint e AAMs sono configurati;e si sia installato il certificato SSL per il sito tramite IIS. A questo punto, immettere i dettagli rilevanti nel server ISA. È configurare il listener e di una regola di pubblicazione, tenere presente quanto segue:

  • Modalità Approvazione amministratore: Per i mapping alternativi per l'accesso per il corretto funzionamento, è necessario configurare la regola di pubblicazione per inoltrare l'intestazione host originale. Inoltre, assicurarsi di che specificare gli indirizzi FQDN appropriati per gli URL interni ed esterni.
  • FBA: Assicurarsi di che selezionare autenticazione di form HTML e di Windows (Active Directory) dalla scheda autenticazione, se non si utilizzano Kerberos o di una soluzione di autenticazione personalizzato.
  • Negare l'accesso a utenti non autenticati. Per la protezione avanzata, assicurarsi di che aggiungere tutti gli utenti autenticati. Alternativelyr selezionare utenti specifici in insiemi di utenti e assicurarsi che tutti gli utenti viene rimosso.

Semplificare il problema.

Proteggere i siti di SharePoint, mediante TLS può essere completo dei problemi. Il firewall potrebbe non corretta in modo che il traffico come un proxy inverso oppure può eseguire un processo di conversione dei collegamenti scarsa. La configurazione del routing potrebbe non essere configurata correttamente in topologie più complesse. Le configurazioni di modalità Approvazione amministratore e di zona potrebbero non corrispondere le impostazioni DNS o firewall. La buona notizia è che se l'approccio di protezione esterne con un approccio multilivello è possibile isolare i problemi e risolverli. È possibile rendere ancora più semplice la vita se si utilizza ISA Server con l'autenticazione FBA e Windows. Scegliere la topologia appropriata, configurare il sito di SharePoint, attivarla per SSL in IIS, portare tutti insieme con ISA Server e si sono protette le comunicazioni esterne tramite TLS.

Pav Cherny è un esperto IT e di un autore specializzato in tecnologie Microsoft per la collaborazione e le comunicazioni unificate. Le pubblicazioni includono white paper, manuali di prodotti e libri con particolare attenzione su operazioni IT e amministrazione del sistema. Pav è presidente di Biblioso Corporation, una società specializzata in servizi di localizzazione e documentazione gestita.