Planeación de la seguridad para un entorno externo de colaboración segura (Windows SharePoint Services)

Artículo
05/17/2012

En este artículo:

Protección de los servidores back-end
Protección de la comunicación cliente-servidor
Protección del sitio de Administración central
Lista de comprobación del diseño de la seguridad
Planeación del endurecimiento de la seguridad para las funciones de servidor
Planeación de configuraciones seguras para las características de Windows SharePoint Services

La orientación de seguridad para un entorno seguro externo va dirigida a hospedar contenido en una extranet con el fin de que exista colaboración en el contenido con colaboradores que no tienen acceso general a la red corporativa. Este entorno permite a los asociados externos participar en un flujo de trabajo o colaborar en contenido junto con empleados de la organización.

Hay varias recomendaciones únicas para un entorno de colaboración seguro externo. Es posible que algunas de estas recomendaciones no resulten prácticas para todas las soluciones.

Protección de los servidores back-end

La colaboración externa segura requiere servidores orientados a Internet. Puede limitar la exposición al tráfico de Internet si protege los servidores back-end:

Protección de servidores de base de datos Como mínimo, coloque un firewall entre los servidores cliente web y los servidores que hospedan bases de datos. Algunos entornos dictan que los servidores de base de datos se deben hospedar en una red interna en lugar de directamente en un entorno de extranet.
Protección de la función Índice El componente de índice se comunica a través de un servidor cliente web para rastrear el contenido de los sitios. Para proteger este canal de comunicaciones, considere la opción de configurar un servidor cliente web dedicado para que lo usen uno o más servidores de índices. Esto aísla la comunicación de rastreo a un servidor cliente web que no es accesible para los usuarios. Además, configure Internet Information Services (IIS) para que restrinja SiteData.asmx (el servicio SOAP del rastreador) para permitir que sólo el servidor de índices (u otros rastreadores) puedan tener acceso a él. Si se proporciona un servidor cliente web dedicado al rastreo de contenido también se mejora el rendimiento al reducir la carga en los servidores cliente web principales, con lo que se mejora la experiencia del usuario.

Protección de la comunicación cliente-servidor

La colaboración segura en un entorno de extranet depende de la comunicación segura entre los equipos cliente y el entorno de la granja de servidores. Cuando resulte adecuado, use la Capa de sockets seguros (SSL) para proteger la comunicación entre los equipos cliente y los servidores. Para aumentar la seguridad, considere las siguientes opciones:

Requerir certificados en equipos cliente. SSL se puede implementar sin requerir certificados de cliente. Puede aumentar la seguridad de la colaboración externa si requiere certificados en todos los equipos cliente.
Usar IPsec. Si los equipos cliente admiten IPsec, puede configurar reglas de IPsec para conseguir un nivel o una granularidad mayor de la seguridad en comparación con SSL.

Protección del sitio de Administración central

Como los usuarios externos tienen acceso a la zona de red, es importante proteger el sitio de Administración central a fin de bloquear el acceso externo y proteger el acceso interno:

Asegúrese de que el sitio de Administración central no esté hospedado en un servidor cliente web.
Bloquee el acceso externo al sitio de Administración central. Esto se puede conseguir colocando un firewall entre los servidores cliente web y el servidor que hospeda el sitio de Administración central.
Configure el sitio de Administración central con SSL. De esta manera, se garantiza que la comunicación entre la red interna y el sitio de Administración central sea segura.

Lista de comprobación del diseño de la seguridad

Use esta lista de comprobación de diseño junto con las listas de comprobación de Planeación de la seguridad de las granjas de servidores (Windows SharePoint Services).

Topología

[ ]	Proteja los servidores back-end colocando como mínimo un firewall entre los servidores cliente web y los servidores de aplicaciones y de base de datos.
[ ]	Planee un servidor cliente web dedicado para rastrear contenido. No incluya este servidor cliente web en la rotación de clientes web de usuario final.

Arquitectura lógica

[ ]	Bloquee el acceso al sitio de Administración central y configure SSL para este sitio.
[ ]	Para proteger los sitios de administración de SSP, configure estos sitios con SSL, hospédelos en una aplicación web dedicada y configure una directiva para denegar el acceso externo a estos sitios.

Planeación del endurecimiento de la seguridad para las funciones de servidor

En la tabla siguiente se describen recomendaciones de protección adicionales para un entorno de colaboración seguro externo.

Componente	Recomendación
Puertos	Bloquee el acceso externo al puerto para el sitio de Administración central.
IIS	Restrinja SiteData.asmx (el servicio SOAP del rastreador) para permitir que sólo el servidor de índices (u otros rastreadores) puedan tener acceso a él.

Planeación de configuraciones seguras para las características de Windows SharePoint Services

En la tabla siguiente se describen recomendaciones adicionales para proteger las características de Windows SharePoint Services 3.0. Estas recomendaciones resultan adecuadas para un entorno de colaboración seguro externo.

Característica o área	Recomendación
Autenticación	Use SSL para los usuarios autenticados. Esto no se aplica al usuario anónimo que examina el sitio.
Autorización	Use la directiva de seguridad para restringir los permisos de los usuarios externos (cree directivas de denegación para limitar aquello que pueden hacer los usuarios externos).

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.

Compartir a través de