Planejar a segurança para um ambiente externo de colaboração segura (Office SharePoint Server)
Atualizado em: 2009-04-23
Neste artigo:
Proteger servidores back-end
Proteger a comunicação entre cliente e servidor
Proteger o site da Administração Central
#section4Proteger sites de administração do Provedor de Serviços Compartilhados
Lista de verificação de design seguro
Planejar configuração de segurança para funções de servidor
Planejar configurações de segurança para recursos do Office SharePoint Server
As diretrizes de segurança para um ambiente externo seguro estão voltadas para a hospedagem de conteúdo em uma extranet para fins de colaboração de conteúdo com colaboradores que não possuem acesso geral à sua rede corporativa. Esse ambiente permite que parceiros externos participem de um fluxo de trabalho ou colaborem no conteúdo junto com funcionários da sua organização.
Existem diversas recomendações exclusivas para um ambiente de colaboração externo seguro. Algumas delas podem não ser práticas para todas as soluções.
Proteger servidores back-end
A colaboração externa segura exige servidores com acesso à Internet. Você pode limitar a exposição ao tráfego da Internet protegendo servidores back-end:
Protegendo servidores de banco de dados No mínimo, coloque um firewall entre os servidores Web front-end e os servidores que hospedam os bancos de dados. Alguns ambientes exigem que os servidores de banco de dados sejam hospedados em uma rede interna, em vez de diretamente em um ambiente de extranet.
Proteger servidores de aplicativos No mínimo, proteja os servidores de aplicativos exigindo protocolo IPsec (IPSec), para proteger a comunicação entre computadores do farm de servidores. Além disso, você pode colocar servidores de aplicativos atrás do firewall usado para proteger servidores de bancos de dados. Também é possível introduzir um firewall adicional entre servidores Web front-end e servidores de aplicativos.
Proteger a função de índice O componente de índice comunica-se por meio de um servidor Web front-end para rastrear conteúdo em sites. Para proteger esse canal de comunicação, considere a configuração de um servidor Web front-end dedicado a ser usado por um ou mais servidores de indexação. Isso isola a comunicação de rastreamento a um servidor Web front-end que não pode ser acessado por usuários. Adicionalmente, configure os Serviços de Informações da Internet (IIS) para restringir SiteData.asmx (o serviço SOAP rastreador) e permitir que somente o servidor de indexação (ou outros rastreadores) o acessem. O fornecimento de um servidor Web front-end dedicado ao rastreamento de conteúdo também aprimora o desempenho ao reduzir a carga nos principais servidores Web front-end, melhorando a experiência do usuário.
Proteger a comunicação entre cliente e servidor
A colaboração segura em um ambiente de extranet baseia-se na comunicação segura entre computadores cliente e o ambiente de farm de servidores. Onde for apropriado, use o Secure Sockets Layer (SSL) para proteger a comunicação entre computadores cliente e servidores. Para aumentar a segurança, considere o seguinte:
Exija certificados em computadores cliente. O SSL pode ser implementado sem a exigência de certificados de cliente. Você pode aumentar a segurança da colaboração externa ao exigir certificados em todos os computadores cliente.
Use o IPsec. Se os computadores cliente oferecerem suporte a IPsec, você poderá configurar regras de IPsec para atingir um nível maior de granularidade de segurança em comparação com o SSL.
Proteger o site da Administração Central
Como os usuários externos têm acesso à zona de rede, é importante proteger o site da Administração Central para bloquear o acesso externo e proteger o acesso interno:
Não hospede o site da Administração Central em um servidor Web front-end.
Bloqueie o acesso externo ao site da Administração Central. Isso pode ser feito colocando um firewall entre os servidores Web front-end e o servidor que hospeda o site da Administração Central.
Configure o site da Administração Central usando SSL. Isso garante que a comunicação de uma rede interna para o site da Administração Central seja segura.
Proteger sites de administração do Provedor de Serviços Compartilhados
Os sites de administração (um site por SSP) de SSP (Provedor de Serviços Compartilhados) são instalados em servidores Web front-end. Cada site de administração do SSP é criado em um aplicativo Web dedicado. As recomendações para proteger esses sites incluem:
Configure todos os sites de administração do SSP usando SSL. Isso assegura a proteção da comunicação da rede interna com esses sites.
Configure uma política para que o aplicativo Web negue acesso a todos os usuários externos.
Lista de verificação de design seguro
Use esta lista de verificação de design junto com as listas de verificação em Visão geral: Planejar a segurança do farm de servidores (Office SharePoint Server).
Topologia
[ ] |
Proteja os servidores back-end colocando pelo menos um firewall entre os servidores Web front-end e os servidores de aplicativos e de banco de dados. |
[ ] |
Planeje um servidor Web front-end dedicado para rastreamento de conteúdo. Não inclua esse servidor Web front-end na rotação Web front-end para usuário final. |
Arquitetura lógica
[ ] |
Bloqueie o acesso ao site da Administração Central e configure o SSL para este site. |
[ ] |
Proteja os sites de administração de SSP configurando-os com SSL, hospedando-os em um aplicativo Web dedicado e configurando uma política para negar o acesso externo a eles. |
Planejar configuração de segurança para funções de servidor
A tabela a seguir descreve recomendações adicionais de segurança para um ambiente de colaboração externo seguro.
| Componente | Recomendação |
|---|---|
Portas |
Bloqueie o acesso externo à porta do site da Administração Central. |
IIS |
Restrinja SiteData.asmx (o serviço SOAP rastreador) para permitir que somente o servidor de indexação (ou outros rastreadores) o acesse. |
Planejar configurações de segurança para recursos do Office SharePoint Server
A tabela a seguir descreve recomendações adicionais para a proteção de recursos do Microsoft Office SharePoint Server 2007. Essas recomendações são apropriadas para um ambiente de colaboração externo seguro.
| Recurso ou área | Recomendação |
|---|---|
Autenticação |
Use SSL para usuários autenticados. Isso não se aplica ao usuário anônimo que estiver navegando pelo site. |
Autorização |
Use a política de segurança para cobrir permissões de usuários externos (crie políticas de negação para limitar o que os usuários externos poderão fazer). |
Meus Sites |
Conceda o direito de Criar Site Pessoal somente a colaboradores que precisem criar sites pessoais. |
InfoPath Forms Server |
Desabilite o proxy do serviço da Web InfoPath Forms Services. |
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Planejamento e arquitetura para o Office SharePoint Server 2007, parte 2
Planejamento de um ambiente de Extranet para o Office SharePoint Server (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.