Pianificare la protezione per un ambiente di collaborazione protetto esterno (Windows SharePoint Services)
Contenuto dell'articolo:
Proteggere i server back-end
Proteggere le comunicazioni client-server
Proteggere il sito Amministrazione centrale
Elenco di controllo per una progettazione protetta
Pianificare una protezione avanzata per i ruoli del server
Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services
Le informazioni aggiuntive sulla protezione per un ambiente esterno protetto hanno come obiettivo l'hosting del contenuto in una Extranet allo scopo di collaborare al contenuto con i collaboratori che non dispongono di accesso generale alla rete aziendale. Questo ambiente consente ai partner esterni di partecipare a un flusso di lavoro o di collaborare al contenuto con i dipendenti dell'organizzazione.
Esistono alcuni suggerimenti specifici per un ambiente di collaborazione protetto esterno. È possibile che alcuni di questi suggerimenti non siano funzionali per tutte le soluzioni.
Proteggere i server back-end
La collaborazione protetta esterna richiede server con connessione Internet. È possibile limitare l'esposizione al traffico proveniente da Internet proteggendo i server back-end:
Proteggere i server database Inserire almeno un firewall tra i server Web front-end e i server che ospitano database. Alcuni ambienti impongono l'hosting dei server database in una rete interna, anziché direttamente in un ambiente Extranet.
Proteggere il ruolo indice Il componente di indicizzazione comunica attraverso un server Web front-end per eseguire la ricerca per indicizzazione del contenuto nei siti. Per proteggere questo canale di comunicazione, può essere opportuno configurare un server Web front-end dedicato che verrà utilizzato da uno o più server indice. La comunicazione relativa alla ricerca per indicizzazione viene così isolata in un server Web front-end non accessibile agli utenti. Configurare inoltre Internet Information Services (IIS) in modo da applicare restrizioni a SiteData.asmx (il servizio SOAP del crawler) e consentirvi l'accesso soltanto al server indice o ad altri crawler. L'implementazione di un server Web front-end dedicato alla ricerca per indicizzazione del contenuto consente inoltre di migliorare le prestazioni riducendo il carico nei server Web front-end principali e garantendo così una migliore esperienza utente.
Proteggere la comunicazione client-server
La collaborazione protetta in un ambiente Extranet dipende dalla comunicazione protetta tra i computer client e l'ambiente della server farm. Se appropriato, utilizzare Secure Sockets Layer (SSL) per proteggere la comunicazione tra i computer client e i server. Per aumentare la protezione, è consigliabile prendere in considerazione quanto segue:
Richiedere certificati sui computer client. Sebbene sia possibile implementare SSL senza richiedere certificati client, è tuttavia possibile aumentare la protezione della collaborazione esterna richiedendo certificati su tutti i computer client.
Utilizzare IPsec. Se i computer client supportano IPsec, è possibile configurare regole IPsec per ottenere un livello o una granularità di protezione maggiore rispetto a SSL.
Proteggere il sito Amministrazione centrale
Poiché gli utenti esterni hanno accesso all'area di rete, è importante proteggere il sito Amministrazione centrale in modo da bloccare l'accesso esterno e proteggere l'accesso interno:
Verificare che il sito Amministrazione centrale non sia ospitato in un server Web front-end.
Bloccare l'accesso esterno al sito Amministrazione centrale. A tale scopo, è possibile inserire un firewall tra i server Web front-end e il server che ospita il sito Amministrazione centrale.
Configurare il sito Amministrazione centrale utilizzando SSL. In questo modo viene garantita la protezione della comunicazione tra la rete interna e il sito Amministrazione centrale.
Elenco di controllo per una progettazione protetta
Utilizzare questo elenco di controllo per la progettazione unitamente agli elenchi di controllo disponibili in Pianificare la protezione di una server farm (Windows SharePoint Services).
Topologia
[ ] |
Proteggere i server back-end inserendo almeno un firewall tra i server Web front-end e i server applicazioni e database. |
[ ] |
Pianificare un server Web front-end dedicato per la ricerca per indicizzazione del contenuto. Non includere questo server Web front-end nella rotazione di server Web front-end dell'utente finale. |
Architettura logica
[ ] |
Bloccare l'accesso al sito Amministrazione centrale e configurare SSL per questo sito. |
[ ] |
Proteggere i siti di amministrazione del provider di servizi condivisi configurandoli con SSL, ospitandoli in un'applicazione Web dedicata e configurando un criterio per negare l'accesso esterno a questi siti. |
Pianificare una protezione avanzata per i ruoli del server
Nella tabella seguente vengono illustrati ulteriori suggerimenti sulla protezione avanzata per un ambiente di collaborazione protetto esterno.
| Componente | Suggerimento |
|---|---|
Porte |
Bloccare l'accesso esterno alla porta per il sito Amministrazione centrale. |
IIS |
Applicare restrizioni a SiteData.asmx, ovvero al servizio SOAP del crawler, e consentire soltanto al server di indicizzazione o ad altri crawler di accedervi. |
Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services
Nella tabella seguente vengono illustrati ulteriori suggerimenti per proteggere le caratteristiche di Microsoft Windows SharePoint Services 3.0. Questi suggerimenti sono appropriati per un ambiente di collaborazione protetto esterno.
| Caratteristica o area | Suggerimento |
|---|---|
Autenticazione |
Utilizzare SSL per gli utenti autenticati. Non si applica all'utente anonimo che sta esplorando il sito. |
Autorizzazione |
Utilizzare i criteri di protezione per limitare l'autorizzazione degli utenti esterni, ovvero creare criteri di rifiuto per limitare le operazioni che gli utenti esterni possono eseguire. |
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).