Планирование безопасности внешней среды безопасного сотрудничества (Office SharePoint Server)
Содержание:
Защита фоновых серверов
Безопасная связь клиент-сервер
Обеспечение безопасности сайта центра администрирования
Безопасные сайты администрирования поставщика общих служб
Контрольный список проекта системы безопасности
Планирование усиления безопасности для ролей сервера
Планирование настроек безопасности компонентов Office SharePoint Server
В целях обеспечения безопасности рекомендуется размещать контент, предназначенный для работы совместно с участниками, не имеющими доступа к сети организации, в экстрасети. Таким образом создается безопасная внешняя среда, благодаря которой внешние партнеры могут участвовать в рабочем процессе или работать над контентом совместно с сотрудниками организации.
Приведем несколько уникальных рекомендаций, относящихся к внешней безопасной среде для совместной работы. Некоторые из этих рекомендаций могут относиться не ко всем решениям.
Защита фоновых серверов
Совместная работа в безопасной внешней среде требует использования серверов, доступных через Интернет. Защищая фоновые серверы, можно ограничить степень их уязвимости со стороны трафика из Интернета.
Защита серверов баз данных В качестве минимальной меры установите межсетевой экран между интерфейсными веб-серверами и серверами баз данных. В некоторых средах требуется, чтобы серверы баз данных размещались во внутренней сети, а не напрямую в экстрасети.
Защита серверов приложений Как минимум серверы приложения нужно защитить, в обязательном порядке включив IPsec, чтобы обеспечить безопасность обмена данными между компьютерами фермы серверов. Дополнительно можно закрыть серверы приложений брандмауэром, который используется для защиты серверов базы данных. Кроме того, можно добавить брандмауэр между интерфейсными веб-серверами и серверами приложений.
Защита роли индексирования Компонент индексирования связывается с интерфейсным веб-сервером для выполнения обхода контента сайтов. Чтобы защитить канал связи, рассмотрите возможность настройки выделенного интерфейсного веб-сервера для использования одним или несколькими серверами индексирования. При этом связь во время обхода осуществляется только через интерфейсный веб-сервер, который недоступен для пользователей. Кроме того, настройте службы IIS таким образом, чтобы к службе SiteData.asmx (служба обходчика SOAP) имел доступ только сервер индексирования (или другие обходчики). Выделение интерфейсного веб-сервера для обхода контента способствует повышению производительности за счет сокращения нагрузки на главные интерфейсные веб-серверы, что в свою очередь улучшает условия работы пользователя.
Безопасная связь клиент-сервер
Безопасная совместная работа в среде экстрасети опирается на безопасную связь между клиентскими компьютерами и средой фермы серверов. Везде, где можно, используйте протокол SSL для безопасной связи между клиентскими компьютерами и серверами. Для повышения уровня безопасности рассмотрите следующие меры.
Потребуйте сертификаты на клиентские компьютеры. Использование протокола SSL не требует клиентских сертификатов. Безопасность внешней совместной работы можно повысить, потребовав сертификаты на все клиентские компьютеры.
Используйте IPsec. Если клиентские компьютеры поддерживают IPsec, можно настроить правила IPsec таким образом, чтобы обеспечить более высокий уровень безопасности по сравнению с SSL.
Обеспечение безопасности сайта центра администрирования
Поскольку доступ к зоне сети имеют внешние пользователи, важно обезопасить сайт центра администрирования, заблокировать внешний доступ к нему и защитить внутренний доступ. Для этого выполните следующие действия.
Убедитесь, что сайт центра администрирования не находится на интерфейсном веб-сервере.
Заблокируйте внешний доступ к сайту центра администрирования. Это можно обеспечить, установив межсетевой экран между веб-серверами переднего плана и сервером, на котором размещается сайт центра администрирования.
Настройте сайт центра администрирования, используя протокол SSL. Это обеспечит защиту связи между внутренней сетью и сайтом центра администрирования.
Безопасные сайты администрирования поставщика общих служб
Сайты администрирования поставщиков общих служб (по одному сайту на поставщика общих служб) устанавливаются на интерфейсные веб-серверы. Каждый сайт администрирования поставщика общих служб создается в специализированном веб-приложении. Для обеспечения безопасности этих сайтов рекомендуется сделать следующее:
Настроить все сайты администрирования поставщика общих служб с помощью SSL. Это обеспечить безопасность подключения внутренней сети к этим сайтам.
Настроить политику веб-приложения так, чтобы запретить доступ всех внешних пользователей.
Контрольный список безопасного проекта
Используйте этот контрольный список проекта вместе с контрольным списком из раздела Обзор: планирование безопасности фермы серверов (Office SharePoint Server).
Топология
[ ] |
Защитите фоновые серверы, установив по крайней мере один межсетевой экран между интерфейсными веб-серверами и серверами приложений и баз данных. |
[ ] |
Запланируйте использование выделенного интерфейсного веб-сервера для обхода контента. Не включайте этот интерфейсный веб-сервер в ротацию интерфейсных веб-серверов балансировки сетевой нагрузки конечного пользователя. |
Логическая архитектура
[ ] |
Заблокируйте доступ к сайту центра администрирования и настройте протокол SSL для этого сайта. |
[ ] |
Защитите сайты администрирования поставщиков общих служб, настроив эти сайты с протоколом SSL, разместив эти сайты в выделенном веб-приложении и настроив политику запрета внешнего доступа к этим сайтам. |
Планирование мер по усилению безопасности для ролей сервера
В следующей таблице приведены дополнительные, более сильные рекомендации по внешней безопасной среде для совместной работы.
| Компонент | Рекомендации |
|---|---|
Порты |
Заблокируйте внешний доступ к порту сайта центра администрирования. |
Службы IIS |
Ограничьте службу SiteData.asmx (служба обходчика SOAP) таким образом, чтобы к ней имел доступ только сервер индексирования (или другие обходчики). |
Планирование безопасных конфигураций компонентов Office SharePoint Server
В следующей таблице приведены дополнительные рекомендации, относящиеся к обеспечению безопасности функций Microsoft Office SharePoint Server 2007. Эти рекомендации относятся к безопасной внешней среде для совместной работы.
| Функция или область | Рекомендации |
|---|---|
Проверка подлинности |
Используйте протокол SSL для пользователей, прошедших проверку подлинности. Этот протокол не применяется в отношении анонимных пользователей, просматривающих сайт. |
Авторизация |
Используйте политику безопасности для предоставления разрешений внешним пользователям (разработайте политику отказов для ограничения возможностей, предоставляемых внешним пользователям). |
"Мои узлы" |
Предоставьте право создания личного сайта только тем писателям, которым эти сайты нужны. |
Сервер InfoPath Forms Server |
Отключите прокси-сервер веб-службы служб форм InfoPath. |
Загрузка этой книги
Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:
Планирование и архитектура для Office SharePoint Server 2007, Часть 2
Планирование среды экстрасети для Office SharePoint Server (на английском языке)
См. полный список доступных книг на веб-сайте Загружаемые книги для Office SharePoint Server 2007