Características de seguridad clave de Lync Server 2013
Tema modificado por última vez: 18-07-2013
Lync Server 2013 incluye varias características de seguridad, como la autenticación de servidor a servidor, el control de acceso basado en roles y el almacenamiento centralizado de datos de configuración.
Este artículo ofrece información general de alto nivel sobre la seguridad de Lync Server 2013.
Características de seguridad clave de Lync Server 2013
La seguridad es un tema muy amplio. La seguridad abarca todas las características de Lync Server 2013, así como las bases de datos, los servicios y el hardware que conforman un ecosistema de Lync. En este artículo se describen algunas de las características de Lync Server 2013, en particular, que están diseñadas para la seguridad.
Herramientas de planeación y diseño
Lync Server 2013 ofrece dos herramientas para facilitar la planeación y el diseño, así como para reducir la posibilidad de configurar incorrectamente los componentes de Lync Server.
La Herramienta de planificación de topología automatiza gran parte del proceso de diseño de topología. Puede exportar los resultados de la Herramienta de planeación al Generador de topologías, que es la herramienta necesaria para instalar cada servidor que ejecuta Lync Server 2013.
El Generador de topologías almacena toda la información de configuración en el almacén de administración central.
Para obtener más información sobre estas herramientas, consulte Planeamiento de Lync Server 2013.
Almacén de administración central
En Lync Server 2013, los datos de configuración sobre servidores y servicios forman parte del almacén de administración central. El almacén de administración central proporciona un almacenamiento sólido y esquematizado de los datos necesarios para definir, configurar, mantener, administrar, describir y operar una implementación de Lync Server. También comprueba los datos para asegurarse de que la configuración es coherente. Todos los cambios realizados a esta configuración se producen en el almacén de administración central, excepto los problemas de "sin sincronizar".
Las copias de solo lectura de los datos se replican en todos los servidores de la topología, incluyendo los servidores perimetrales y las aplicaciones de sucursal con funciones de supervivencia. Un servicio que se ejecuta de forma predeterminada en el contexto del servicio de red es el encargado de administrar la replicación, de modo que los permisos y derechos se reducen a los de un simple usuario del equipo.
Autenticación de servidor a servidor
En Lync Server 2013, la autenticación se puede configurar entre servidores mediante el protocolo Open Authorization (OAuth). Por ejemplo, puede configurar Lync Server 2013 para que se autentique con un servidor que ejecuta Exchange Server 2013. Con el protocolo OAuth, el servidor de Lync y el servidor Exchange pueden confiar entre sí. Esto proporciona la posibilidad de integrar los productos de forma sencilla. Para obtener más información, consulte Administrar la autenticación de servidor a servidor (OAuth) y las aplicaciones de asociados en Lync Server 2013
Administración basada en Windows PowerShell e interfaz de administración basada en web
Lync Server 2013 proporciona una interfaz de administración eficaz, creada en la Windows PowerShell interfaz de línea de comandos. Incluye cmdlets para administración de seguridad, y las características de seguridad de Windows PowerShell se habilitan de manera predeterminada de manera que los usuarios no puedan ejecutar scripts fácilmente o sin saberlo. Esto significa que los valores predeterminados de software se configuran automáticamente de manera que ayuden a maximizar la seguridad y a reducir las vías de ataque. Para obtener más información sobre la compatibilidad con la administración de Windows PowerShell en Lync Server 2013, consulte Shell de administración de Lync Server 2013.
Control de acceso basado en roles (RBAC)
Microsoft Lync Server 2013 proporciona un control de acceso basado en roles (RBAC) para permitirle delegar tareas administrativas y mantener altos estándares de seguridad. Puede usar RBAC para seguir el principio de "privilegios mínimos", donde los usuarios solo reciben los derechos administrativos que requiere su trabajo. Lync Server 2013 presenta la capacidad de crear un nuevo rol y también la capacidad de modificar un rol existente. Para obtener más información, consulte Planeamiento del control de acceso basado en roles en Lync Server 2013.
Traducción de direcciones de red (NAT)
Lync Server 2013 no admite el uso de la traducción de direcciones de red (NAT) en la interfaz interna del servidor perimetral, pero sí permite colocar la interfaz externa del servicio perimetral de acceso, el servicio perimetral de conferencia web y el servicio perimetral de A/V detrás de un enrutador o firewall que realiza la traducción de direcciones de red (NAT) para topologías de servidor perimetral consolidado único y escalado. Si hay varios servidores perimetrales tras un equilibrador de carga de hardware, no se podrá utilizar NAT. Si hay varios servidores perimetrales que utilizan NAT en sus interfaces externas, se necesitará aplicar equilibrio de carga de sistema de nombres de dominio (DNS). El equilibrio de carga de DNS permite, al mismo tiempo, reducir el número de direcciones IP públicas por servidor perimetral en grupo de servidores perimetrales. Para obtener más información, veaPlanear el acceso de usuarios externos en Lync Server 2013.
Nota
Si su empresa se federa con otra que tenga una implementación de Microsoft Office Communications Server 2007 y necesita utilizar audio/vídeo entre su empresa y la empresa federada, los requisitos de los puertos serán los correspondientes a la versión antigua de servidores perimetrales que se haya implementado. Por ejemplo, los intervalos de puertos necesarios para esas versiones anteriores deben abrirse para ambas empresas hasta que el partner federado actualiza sus servidores perimetrales a Lync Server 2013. En ese momento, los requisitos en materia de puertos se podrán revisar y reducir de acuerdo con la nueva configuración.
Certificados simplificados para servidores perimetrales
El asistente para implementación puede rellenar automáticamente los nombres de sujetos (SN) y los nombres alternativos de sujetos (SAN) para reducir la probabilidad de incluir entradas innecesarias y potencialmente no seguras.
Ciclo de vida de desarrollo de seguridad (SDL) de Trustworthy Computing
Lync Server 2013 se ha diseñado y desarrollado de acuerdo con el ciclo de vida de desarrollo de seguridad informática de confianza de Microsoft (SDL), que se describe en https://go.microsoft.com/fwlink/?linkid=68761.
Fidedigna por diseño El primer paso para crear un sistema de comunicaciones unificadas más seguro fue diseñar modelos de amenazas y probar cada característica tal y como se diseñó. Además, Microsoft realiza pruebas fuera del comportamiento diseñado para encontrar vulnerabilidades de seguridad resultantes de un comportamiento inesperado del producto. Se integraron múltiples mejoras relacionadas con la seguridad en el proceso y las prácticas de codificación. Las herramientas de tiempo de compilación detectan excesos de almacenaje y otras amenazas de seguridad antes de que el código se incorpore al producto final. Evidentemente no se puede diseñar una protección contra todas las amenazas de seguridad no conocidas. Ningún sistema puede garantizar una seguridad completa. Sin embargo, como el desarrollo de productos adoptó principios de diseño seguro desde el principio, Lync Server 2013 incorpora las tecnologías de seguridad estándar del sector como parte fundamental de su arquitectura.
De confianza de forma predeterminada De forma predeterminada, las comunicaciones de red en Lync Server 2013 están cifradas. Dado que todos los servidores usan certificados y autenticación Kerberos, TLS, protocolo de transporte de Real-Time seguro (SRTP) y otras técnicas de cifrado estándar del sector, incluido el cifrado de cifrado avanzado estándar (AES) de 128 bits, prácticamente todos los datos de Lync Server están protegidos en la red. Además, el control de acceso basado en roles permite implementar servidores que ejecutan Lync Server 2013 para que cada rol de servidor ejecute solo los servicios y tenga solo los permisos relacionados con esos servicios, que son adecuados para el rol de servidor.
Fidedigna por implementación Toda la documentación de Lync Server 2013 incluye procedimientos recomendados y recomendaciones para ayudarle a determinar y configurar los niveles de seguridad óptimos para su implementación y evaluar los riesgos de seguridad de la activación de opciones no predeterminadas.