Share via

Планирование безопасности для внешней среды безопасной совместной работы (Windows SharePoint Services)

  • Статья

Содержание:

  • Защита фоновых серверов

  • Безопасная связь клиент-сервер

  • Обеспечение безопасности сайта центра администрирования

  • Контрольный список проекта системы безопасности

  • Планирование усиления безопасности для ролей сервера

  • Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

В целях обеспечения безопасности рекомендуется размещать контент, предназначенный для работы совместно с участниками, не имеющими доступа к сети организации, в экстрасети. Таким образом создается безопасная внешняя среда, благодаря которой внешние партнеры могут участвовать в рабочем процессе или работать над контентом совместно с сотрудниками организации.

Приведем несколько уникальных рекомендаций, относящихся к внешней безопасной среде для совместной работы. Некоторые из этих рекомендаций могут относиться не ко всем решениям.

Защита фоновых серверов

Совместная работа в безопасной внешней среде требует использования серверов, доступных через Интернет. Защищая фоновые серверы, можно ограничить степень их уязвимости со стороны трафика из Интернета.

  • Защита серверов баз данных   В качестве минимальной меры установите межсетевой экран между интерфейсными веб-серверами и серверами баз данных. В некоторых средах требуется, чтобы серверы баз данных размещались во внутренней сети, а не напрямую в экстрасети.

  • Защита роли индексирования   Компонент индексирования связывается с интерфейсным веб-сервером для выполнения обхода контента сайтов. Чтобы защитить канал связи, рассмотрите возможность настройки выделенного интерфейсного веб-сервера для использования одним или несколькими серверами индексирования. При этом связь во время обхода осуществляется только через интерфейсный веб-сервер, который недоступен для пользователей. Кроме того, настройте службы IIS таким образом, чтобы к службе SiteData.asmx (служба обходчика SOAP) имел доступ только сервер индексирования (или другие обходчики). Выделение интерфейсного веб-сервера для обхода контента способствует повышению производительности за счет сокращения нагрузки на главные интерфейсные веб-серверы, что в свою очередь улучшает условия работы пользователя.

Безопасная связь клиент-сервер

Безопасная совместная работа в среде экстрасети опирается на безопасную связь между клиентскими компьютерами и средой фермы серверов. Везде, где можно, используйте протокол SSL для безопасной связи между клиентскими компьютерами и серверами. Для повышения уровня безопасности рассмотрите следующие меры.

  • Потребуйте сертификаты на клиентские компьютеры. Использование протокола SSL не требует клиентских сертификатов. Безопасность внешней совместной работы можно повысить, потребовав сертификаты на все клиентские компьютеры.

  • Используйте IPsec. Если клиентские компьютеры поддерживают IPsec, можно настроить правила IPsec таким образом, чтобы обеспечить более высокий уровень безопасности по сравнению с SSL.

Обеспечение безопасности сайта центра администрирования

Поскольку доступ к зоне сети имеют внешние пользователи, важно обезопасить сайт центра администрирования, заблокировать внешний доступ к нему и защитить внутренний доступ. Для этого выполните следующие действия.

  • Убедитесь, что сайт центра администрирования не находится на интерфейсном веб-сервере.

  • Заблокируйте внешний доступ к сайту центра администрирования. Это можно обеспечить, установив межсетевой экран между веб-серверами переднего плана и сервером, на котором размещается сайт центра администрирования.

  • Настройте сайт центра администрирования, используя протокол SSL. Это обеспечит защиту связи между внутренней сетью и сайтом центра администрирования.

Контрольный список безопасного проекта

Используйте этот контрольный список проекта вместе с контрольным списком из раздела Планирование системы безопасности фермы серверов (Windows SharePoint Services).

Топология

[ ]

Защитите фоновые серверы, установив по крайней мере один межсетевой экран между интерфейсными веб-серверами и серверами приложений и баз данных.

[ ]

Запланируйте использование выделенного интерфейсного веб-сервера для обхода контента. Не включайте этот интерфейсный веб-сервер в ротацию интерфейсных веб-серверов балансировки сетевой нагрузки конечного пользователя.

Логическая архитектура

[ ]

Заблокируйте доступ к сайту центра администрирования и настройте протокол SSL для этого сайта.

[ ]

Защитите сайты администрирования поставщиков общих служб, настроив эти сайты с протоколом SSL, разместив эти сайты в выделенном веб-приложении и настроив политику запрета внешнего доступа к этим сайтам.

Планирование мер по усилению безопасности для ролей сервера

В следующей таблице приведены дополнительные, более сильные рекомендации по внешней безопасной среде для совместной работы.

Компонент Рекомендации

Порты

Заблокируйте внешний доступ к порту сайта центра администрирования.

Службы IIS

Ограничьте службу SiteData.asmx (служба обходчика SOAP) таким образом, чтобы к ней имел доступ только сервер индексирования (или другие обходчики).

Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

В следующей таблице приведены дополнительные рекомендации, относящиеся к обеспечению безопасности функций Windows SharePoint Services 3.0. Эти рекомендации относятся к безопасной внешней среде для совместной работы.

Функция или область Рекомендации

Проверка подлинности

Используйте протокол SSL для пользователей, прошедших проверку подлинности. Этот протокол не применяется в отношении анонимных пользователей, просматривающих сайт.

Авторизация

Используйте политику безопасности для предоставления разрешений внешним пользователям (разработайте политику отказов для ограничения возможностей, предоставляемых внешним пользователям).

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.