Planeación de seguridad para un entorno de colaboración seguro externo (Office SharePoint Server)
En este artículo:
Protección de los servidores back-end
Protección de la comunicación cliente-servidor
Protección del sitio de Administración central
Protección de los sitios de administración del proveedor de servicios compartidos
Lista de comprobación del diseño de la seguridad
Planeación del endurecimiento de la seguridad para las funciones de servidor
Planeación de configuraciones seguras para las características de Office SharePoint Server
La orientación de seguridad para un entorno seguro externo va dirigida al hospedaje de contenido en una extranet a fin de colaborar en contenido con colaboradores que no tienen acceso general a la red corporativa. Este entorno permite a los asociados externos participar en un flujo de trabajo o colaborar en contenido junto con empleados de la organización.
Hay varias recomendaciones únicas para un entorno de colaboración seguro externo. Es posible que algunas de estas recomendaciones no resulten prácticas para todas las soluciones.
Protección de los servidores back-end
La colaboración segura externa requiere servidores orientados a Internet. Puede limitar la exposición al tráfico de Internet si protege los servidores:
Protección de servidores de base de datos Como mínimo, coloque un firewall entre los servidores cliente web y los servidores que hospeden bases de datos. Algunos entornos dictan que los servidores de base de datos se deben hospedar en una red interna en lugar de directamente en un entorno de extranet.
Protección de servidores de aplicaciones Como mínimo, debe proteger los servidores de aplicaciones mediante el requisito del protocolo de seguridad de Internet (IPsec) para proteger la comunicación entre los equipos de la granja de servidores. Además, puede ubicar los servidores de aplicaciones detrás del firewall usado para proteger los servidores de base de datos. Otra posibilidad es usar un firewall adicional entre los servidores cliente web y los servidores de aplicaciones.
Protección de la función Índice El componente de índice se comunica a través de un servidor cliente web para rastrear el contenido de los sitios. Para proteger este canal de comunicaciones, considere la opción de configurar un servidor cliente web dedicado para que lo usen uno o más servidores de índices. Esto aísla la comunicación de rastreo a un servidor cliente web que no es accesible para los usuarios. Además, configure Internet Information Services (IIS) para que restrinja SiteData.asmx (el servicio SOAP del rastreador) para permitir que sólo el servidor de índices (u otros rastreadores) puedan tener acceso a él. Si se proporciona un servidor cliente web dedicado al rastreo de contenido también se mejora el rendimiento al reducir la carga en los servidores cliente web principales, con lo que se mejora la experiencia del usuario.
Protección de la comunicación cliente-servidor
La colaboración segura en un entorno de extranet depende de la comunicación segura entre los equipos cliente y el entorno de la granja de servidores. Cuando resulte adecuado, use la Capa de sockets seguros (SSL) para proteger la comunicación entre los equipos cliente y los servidores. Para aumentar la seguridad, considere las siguientes opciones:
Requerir certificados en equipos cliente. SSL se puede implementar sin requerir certificados de cliente. Puede aumentar la seguridad de la colaboración externa si requiere certificados en todos los equipos cliente.
Usar IPsec. Si los equipos cliente admiten IPsec, puede configurar reglas de IPsec para conseguir un nivel o una granularidad mayor de la seguridad en comparación con SSL.
Protección del sitio de Administración central
Como los usuarios externos tienen acceso a la zona de red, es importante proteger el sitio de Administración central a fin de bloquear el acceso externo y proteger el acceso interno:
Asegúrese de que el sitio de Administración central no esté hospedado en un servidor cliente web.
Bloquee el acceso externo al sitio de Administración central. Esto se puede conseguir colocando un firewall entre los servidores cliente web y el servidor que hospeda el sitio de Administración central.
Configure el sitio de Administración central con SSL. Esto garantiza que se protege la comunicación desde la red interna hasta el sitio de Administración central.
Protección de los sitios de administración del proveedor de servicios compartidos
Los sitios de administración del proveedor de servicios compartidos (SSP) (un sitio por cada SSP) se instalan en los servidores cliente web. Cada sitio de administración del SSP se crea en una aplicación web dedicada. Las recomendaciones para proteger estos sitios son:
Configurar todos los sitios de administración de SSP mediante SSL. Esto garantiza la protección de la comunicación de la red interna con estos sitios.
Configurar una directiva para la aplicación web para denegar el acceso a todos los usuarios externos.
Lista de comprobación del diseño de la seguridad
Use esta lista de comprobación de diseño junto con las listas de comprobación de Introducción: planeación de la seguridad de las granjas de servidores (Office SharePoint Server).
Topología
[ ] |
Proteja los servidores back-end colocando como mínimo un firewall entre los servidores cliente web y los servidores de aplicaciones y de base de datos. |
[ ] |
Planee un servidor cliente web dedicado para rastrear contenido. No incluya este servidor cliente web en la rotación de clientes web de usuario final. |
Arquitectura lógica
[ ] |
Bloquee el acceso al sitio de Administración central y configure SSL para este sitio. |
[ ] |
Para proteger los sitios de administración del SSP, configure estos sitios con SSL, hospédelos en una aplicación web dedicada y configure una directiva para denegar el acceso externo a estos sitios. |
Planeación del endurecimiento de la seguridad para las funciones de servidor
En la tabla siguiente se describen recomendaciones de endurecimiento de la seguridad adicionales para un entorno de colaboración seguro externo.
| Componente | Recomendación |
|---|---|
Puertos |
Bloquee el acceso externo al puerto para el sitio de Administración central. |
IIS |
Restrinja SiteData.asmx (el servicio SOAP del rastreador) para permitir que sólo el servidor de índices (u otros rastreadores) puedan tener acceso a él. |
Planeación de configuraciones seguras para las características de Office SharePoint Server
En la tabla siguiente se describen recomendaciones adicionales para proteger las características de Microsoft Office SharePoint Server 2007. Estas recomendaciones resultan adecuadas para un entorno de colaboración seguro externo.
| Característica o área | Recomendación |
|---|---|
Autenticación |
Use SSL para los usuarios autenticados. Esto no se aplica al usuario anónimo que examina el sitio. |
Autorización |
Use la directiva de seguridad para restringir los permisos de los usuarios externos (cree directivas de denegación para limitar aquello que pueden hacer los usuarios externos). |
Mis sitios |
Conceda el derecho Crear un sitio personal sólo a los colaboradores que necesiten crear sitios personales. |
InfoPath Forms Server |
Deshabilite el proxy del servicio web InfoPath Forms Services. |
Descarga de este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Planeación y arquitectura para Office SharePoint Server 2007 (segunda parte)
Planeación de un entorno de extranet para Office SharePoint Server (en inglés)
Vea la lista completa de libros disponibles en la sección de libros descargables para Office SharePoint Server 2007.