Pianificare le comunicazioni protette all'interno di una server farm (Office SharePoint Server)

  • Articolo

Contenuto dell'articolo:

  • Pianificare le comunicazioni tra server

  • Pianificare le comunicazioni client-server

  • Pianificare l'utilizzo di SSL

Questo articolo può risultare utile per pianificare la protezione della server farm. Contiene infatti linee guida relative alla protezione delle comunicazioni tra server e client-server.

Le attività descritte nell'articolo sono appropriate per gli ambienti di protezione seguenti:

  • Ambiente interno ospitato da IT

  • Collaborazione protetta esterna

  • Accesso anonimo esterno

Pianificare le comunicazioni tra server

Se i server non sono all'interno di un data center fisicamente protetto in cui il rischio di attacco eavesdropping di rete viene considerato irrilevante, è necessario utilizzare un canale di comunicazione crittografata per proteggere i dati inviati tra server.

In Microsoft Office SharePoint Server 2007 le comunicazioni tra server all'interno di una server farm sono molto ampie. La protezione di tali comunicazioni consente di garantire che i dati riservati non vengano compromessi e di proteggere i server da attacchi dannosi o da minacce non intenzionali.

Nella figura che segue sono illustrate alcune tra le transazioni più comuni delle comunicazioni tra i server di una farm.

Modello di comunicazione server farm protetta

Le transazioni più comuni delle comunicazioni tra i server di una farm includono quanto segue:

  • Modifiche alla configurazione   I server Web front-end comunicano con il database di configurazione per segnalare le modifiche alla configurazione per le impostazioni della farm.

  • Richieste di modifica   Le richieste degli utenti di aggiungere, eliminare, modificare o visualizzare il contenuto all'interno di un sito vengono inviate direttamente al database del contenuto.

  • Richieste di ricerca   I server Web front-end comunicano prima con il server di query per generare i risultati per le richieste di query, quindi con il database del contenuto per soddisfare le richieste di utenti di documenti specifici nei risultati della ricerca.

  • Indicizzazione   Il componente di indicizzazione comunica attraverso un server Web front-end per eseguire una ricerca per indicizzazione del contenuto nei database del contenuto e generare un indice.

Nota

In un ambiente Microsoft Office SharePoint Server 2007 la ricerca viene fornita da due ruoli, query e indice, che possono essere installati su computer server diversi.

I metodi IPsec (Internet Protocol security) e SSL (Secure Sockets Layer) possono essere utilizzati per proteggere le comunicazioni tra server attraverso la crittografia del traffico. Si sono rivelati entrambi molto efficaci e la scelta dell'uno o dell'altro dipende dai canali di comunicazione da proteggere e dai vantaggi e dalle scelte più adatte alla propria organizzazione.

IPsec

Il metodo IPsec in genere viene consigliato per proteggere il canale di comunicazione tra due server e per limitare il numero di computer che possono comunicare tra loro. È possibile consentire la protezione di un server database, ad esempio, attraverso la definizione di un criterio che accetti le richieste solo da un computer client attendibile, ad esempio un server applicazioni o un server Web. È possibile inoltre limitare le comunicazioni a porte TCP/UDP e protocolli IP specifici.

I suggerimenti e i requisiti di rete per una server farm rendono IPsec una buona scelta in quanto:

  • Tutti i server sono contenuti in una rete LAN fisica (per migliorare le prestazioni di IPsec).

  • Ai server vengono assegnati indirizzi IP statici.

Il metodo IPsec può essere utilizzato anche tra domini attendibili di Windows Server 2003 o Windows 2000 Server, ad esempio per proteggere le comunicazioni di un server Web o di un server applicazioni in una rete perimetrale che si connette a un computer che esegue Microsoft SQL Server in una rete interna. Per ulteriori informazioni, vedere Selezione dei metodi di autenticazione IPSec (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x410) (informazioni in lingua inglese) nella Guida alla distribuzione di Windows Server 2003 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x410) (informazioni in lingua inglese) .

Per ulteriori informazioni sugli ambienti consigliati per IPsec, vedere Determinazione delle esigenze IPSec (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x410) (informazioni in lingua inglese) nella Guida alla distribuzione di Windows Server 2003 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x410) (informazioni in lingua inglese) .

SSL

I suggerimenti generali relativi all'utilizzo di SSL prevedono l'utilizzo di questo metodo di crittografia quando è necessaria una protezione granulare dei canali per una determinata applicazione anziché per tutte le applicazioni e i servizi in esecuzione su un computer. Poiché SSL deve essere implementato dalle singole applicazioni, non può essere utilizzato per crittografare tutte le comunicazioni tra due host.

Il metodo di crittografia SSL è inoltre meno flessibile di IPsec in quanto supporta solo l'autenticazione attraverso certificati chiave pubblica, ma offre comunque una serie di vantaggi tra cui, in particolare, il supporto da parte di un'ampia varietà di computer server e client e la maturità dello standard che ha praticamente eliminato tutti i problemi di interoperabilità.

Scenari da considerare per SSL

Di seguito vengono illustrati alcuni dei diversi scenari in cui il metodo SSL rappresenta un'opzione valida:

  • Siti di amministrazione   Il sito Amministrazione centrale e i siti Amministrazione servizi condivisi possono essere protetti mediante SSL.

  • Distribuzione del contenuto   Il processo di distribuzione del contenuto copia i file da una directory dei siti su un server all'interno di una server farm di creazione o modifica o di gestione temporanea a una directory dei siti corrispondente su uno o più server all'interno di una server farm di pubblicazione. In questo scenario IPsec potrebbe risultare poco pratico se le server farm si trovano in aree di rete diverse o se c'è un elevato volume di contenuto da distribuire o un alto numero di server in cui distribuire il contenuto. SSL può essere utilizzato per assegnare la comunicazione protetta a queste transazioni delle comunicazioni specifiche.

  • Provider di servizi condivisi tra farm   Se le farm figlio utilizzano servizi condivisi di una farm padre, i dati riservati vengono condivisi tra più farm.

  • Comunicazioni a origini dati esterne   Diverse caratteristiche di Microsoft Office SharePoint Server 2007 si basano sulla connessione a server esterni rispetto alla server farm. In questi scenari, i dati vengono condivisi tra applicazioni specifiche. Sebbene sia possibile utilizzare il metodo IPsec per proteggere tutte le comunicazioni tra questi server, la configurazione di rete, la posizione dei server esterni e la piattaforma dei server esterni potrebbe rendere SSL una scelta migliore.

Pianificare le comunicazioni tra client e server

La proteggere di tutte le comunicazioni client-server potrebbe rivelarsi un'operazione complessa. Esistono tuttavia diversi scenari che giustificano la configurazione supplementare richiesta per garantire le comunicazioni tra computer client e server all'interno della server farm:

  • Proteggere la collaborazione con i partner   I partner accedono e collaborano alle applicazioni in un ambiente Extranet.

  • Accesso remoto dei dipendenti   I dipendenti accedono ai dati interni da postazioni remote.

  • Clienti che forniscono o accedono a dati riservati   I clienti effettuano l'accesso a Internet e forniscono o accedono a dati riservati, ad esempio nei casi in cui viene richiesto loro di entrare in un sito di notizie Internet oppure di fornire informazioni personali per completare una transazione aziendale.

  • Autenticazione di base o Forms   Se si utilizza uno di questi metodi di autenticazione, le credenziali vengono inviate in chiaro. Come precauzione minima, è necessario proteggere le comunicazioni client-server per la pagina di accesso.

Il metodo SSL in genere è consigliato per proteggere le comunicazioni tra utenti e server quando è necessario proteggere informazioni riservate. Può essere configurato per richiedere l'autenticazione server o l'autenticazione server e client.

Pianificare l'utilizzo di SSL

Poiché SSL può incidere negativamente sulle prestazioni della rete, sono disponibili diverse linee guida comuni che consentono di ottimizzare le pagine in cui viene utilizzato. È preferibile quindi scegliere questo metodo solo per le pagine in cui viene richiesto, ad esempio quelle che contengono o acquisiscono dati riservati come password o altri dati personali. L'utilizzo di SSL è indicato dunque solo se sono valide le condizioni seguenti:

  • Si desidera crittografare i dati della pagina.

  • Si desidera garantire che il server a cui si inviano i dati sia il server previsto.

Per le pagine in cui è necessario utilizzare SSL, seguire queste linee guida:

  • Ridurre il più possibile le dimensioni della pagina.

  • Evitare di utilizzare immagini grafiche con file di grandi dimensioni. Se si utilizzano immagini, preferire immagini dalle dimensioni e dalla risoluzione più basse.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).