Соображения по безопасности для решений экстрасетей SharePoint

Безопасность — сложная тема, которая должна быть приведена в соответствие с производственными требованиями и целями. Любая система, к которой необходим внешний доступ, всегда будет более уязвимой, чем система в среде интрасети. При обеспечении безопасности приходится искать баланс между удобством использования, удобством сопровождения, безопасностью и сложностью системы. Каждый из этих аспектов влияет на другие, и его следует рассмотреть в свете производства и его требований и целей — только так можно создать правильную модель безопасности для конкретной ситуации. При проектировании решений экстрасетей в SharePoint необходимо рассмотреть вопросы, приведенные в следующем списке:

• По отношению к учетным записям и безопасности используйте подход "наименьших полномочий”. Этот подход снижает риск нарушения безопасности при компрометации любой учетной записи и изолирует проблемы в отдельных областях. Например, если для поиска используются специальные учетные записи доступа к контенту, то ошибки при индексации источников контента легко локализуются на основании источника и учетной записи. В SharePoint 2010 управляемые учетные записи еще более упрощают процесс изменения паролей в силу централизации управления учетными записями в центре администрирования.

• Включайте в развертывание экстрасети антивирусные решения, разработанные с учетом SharePoint, например, Microsoft Forefront Protection for SharePoint. Тогда антивирусное решение можно настроить на сканирование только выгруженных файлов и документов, а не всей загружаемой и выгружаемой информации. Все данные, хранящиеся в базах данных контента, можно считать чистыми.

• Планируйте модель безопасности для фермы SharePoint в соответствии с требованиями производства и избегайте излишних усложнений. Выберите сетевую топологию, которая может адекватно защитить внутреннюю сеть и все совместно используемые ресурсы. Снизьте количество точек доступа к совместно используемым ресурсам и введите общую номенклатуру с понятными и информативными именами.

• Документируйте решения, настройки и модификации в модели безопасности. Обеспечьте документирование всех изменений, касающихся безопасности, чтобы обеспечить аккуратное ведение и изменение документации.

• Для защищенного обмена данными между фермами SharePoint можно разместить серверы приложений в приватной не маршрутизируемой подсети. Кроме того, можно защитить межсерверный обмен данными (между серверами SharePoint) с помощью IPsec или SSL.

• Используйте веб-приложения для обеспечения изоляции, защиты и конфиденциальности.

НА ЗАМЕТКУ--

Безопасность данных — сложная тема. Хорошенько разберитесь в поставщиках аутентификации и в доступе, необходимом для всех совместно используемых ресурсов. Всегда ограничивайте объем доступа любого пользователя или приложения лишь самой необходимой информацией.

Источники

• Logical architecture components (Логические архитектурные компоненты, http: / / technet.microsoft.com/en-us/library/cc263121.aspx#sectionlO)

• Plan Authentication (Аутентификация плана, http://technet.microsoft.com/ en-us/library/ee794879.aspx)

• Mobile Administration (Мобильное администрирование, http: //technet. microsoft.com/en-us/library/f f393820.aspx)

Резюме

В SharePoint 2010 появилось много новых возможностей и усовершенствований, которые улучшили варианты развертывания экстрасетей для совместной работы с партнерами, поставщиками и клиентами. Многие возможности и усовершенствования призваны преодолеть проблемы и ограничения из решений экстрасетей в SharePoint 2007. Кроме того, улучшенная интеграция клиентских приложений Office с аутентификацией на основе форм и другие поставщики аутентификации делают SharePoint 2010 оптимальной платфор мой для решений экстрасетей.

В данной главе рассмотрены основные причины и аудитории для использования решений экстрасетей, распространенные топологии для реализации решений экстрасетей, модели защитной аутентификации в SharePoint 2010 и модернизация существующих экстрасетей из SharePoint 2007. Здесь показано, как можно настроить веб-приложения SharePoint в качестве решений экстрасетей с помощью FBA и аутентификации Windows с единым URL.

Практические рекомендации

• Защитите экстрасеть с помощью SSL-шифрования и всегда используйте только входной порт 443. Использование нестандартных портов не улучшает защиту и лишь усложняет конфигурацию фермы. А некоторые службы вовсе не работают с нестандартными портами.

• Выберите нужный режим аутентификации, исходя из имеющихся требований. Многофакторная аутентификация обеспечивает беспроблемную среду совместной работы с единым URL, но пользователи всегда выбирают метод аутентификации при входе на сайт. Смешанная аутентификация требует расширения веб-приложения, и поэтому пользователи могут запутаться в нескольких URL-адресах.

• При использовании дополнительных зон и расширении веб-приложений выбирайте осмысленные и понятные имена веб-приложений и URL-адреса.

• Не храните конфиденциальные и секретные данные в экстрасетях.

• Используйте веб-приложения для обеспечения изоляции, безопасности и конфиденциальности.

ушдяиваянрзяясттяирдад at'itwtLi»n„.

Глава 13

Используйте антивирусные решения, разработанные с учетом SharePoint, например, Microsoft Forefront Protection for SharePoint (FPSP), а не традиционные антивирусные продукты, одинаково относящиеся ко всем файлам. Традиционные антивирусные продукты могут привести к проблемам при сканировании контента и конфликтовать с антивирусным API из SharePoint.

Серверы WFE должны всегда находиться в защищенной сети. Ищите возможности для уменьшения области уязвимости.

Серверы приложений лучше размещать в приватной не маршрутизируемой подсети, чтобы обеспечить защиту обмен данными между фермами SharePoint. Неплохо также защитить обмен информацией между серверами SharePoint с помошью IPsec.

Создайте одну или несколько групп подключения к приложениям-службам для вебприложений экстрасетей. Тогда веб-приложения экстрасетей смогут использовать лишь специальные приложения-службы.

Используйте уникальные пулы приложений с уникальными учетными записями пулов приложений для всех веб-приложений экстрасетей — это обеспечит нужную изоляцию.

ГЛАВА

Защита SharePoint с помощью усовершенствованного антивируса и решений Edge Security

В ЭТОЙ ГЛАВЕ...

• Линейка продуктов Forefront Edge

• Необходимость применения линейки Forefront Edge для сред SharePoint

• Опасность, присущая веб-трафику SharePoint

• Защита сайтов SharePoint с помощью Forefront TMG 2010

• Защита сайтов SharePoint с помощью Forefront UAG

• Защита SharePoint 2010 от вирусов с помощью Forefront Protection 2010 for SharePoint

В современной полной рисков вычислительной среде любая доступная извне служба приставляет собой объект частых атак из интернета. Это тем более справедливо для веб-слуясб, в том числе и предлагаемых SharePoint 2010. Проникновения, использующие про-токФ¹ HTTP, который применяется в этих службах, встречаются очень часто, и к серверам SharePoint лучше не открывать непосредственный доступ через интернет.

К счастью, функции SharePoint 2010 останутся доступными, если защитить их обратным!прокси-сервером наподобие Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 или Forefront Unified Access Gateway (Forefront UAG) 2010. Эти средства, входящие в линейку Forefront Edge, формируют дополнительный слой приложений для фильтрации сетевого трафика, что позволяет гораздо лучше защитить всю среду SharePoint.

В данной главе подробно описаны способы защиты сайтов SharePoint 2010 с помощью продуктов Forefront TMG 2010 и Forefront UAG 2010. Описаны варианты развертывания для защиты служб, связанных с SharePoint, с помощью Forefront TMG/UAG и приведены пошаговые руководства.

Кроме информации о линейке Forefront Edge, в данной главе описаны дополнительная антивирусная защита, доступная с помощью Forefront Protection for SharePoint — антивирусной утилиты, разработанной в Microsoft с учетом SharePoint.