Recommandations de sécurité liées au déploiement des applications

Cette rubrique présente des directives pour le déploiement d'une application BizTalk dans votre environnement.

• Toutes les listes de contrôle d'accès discrétionnaires (DACL) sont supprimées des fichiers et dossiers lors de l'exportation d'une application dans un fichier .msi. Une fois l'application installée à partir du fichier .msi, vous devez reconfigurer tous les paramètres de sécurité dans les fichiers et les dossiers.

• Pour des raisons de sécurité, lorsque vous exportez un fichier de liaison, BizTalk Server ne conserve pas les mots de passe des liaisons du fichier. Une fois les liaisons importées, vous devez reconfigurer les mots de passe des ports d'envoi et des emplacements de réception pour qu'ils fonctionnent. Vous configurez ces mots de passe dans la boîte de dialogue Propriétés du transport de la console Administration de BizTalk Server pour le port d'envoi ou l'emplacement de réception. Pour obtenir des instructions, consultez Création d’un port d’envoi. Consultez également Comment créer un emplacement de réception. Pour plus d’informations sur les fichiers de liaison, consultez Fichiers de liaison et déploiement d’applications.

• Le déploiement ou l'annulation du déploiement d'un schéma de propriété peut exposer des données sensibles, et par la suite les exposer lors du suivi. Chaque fois qu'un assembly contenant un schéma de propriété est déployé ou que son déploiement est annulé, l'observateur d'événements consigne un événement dans le journal des événements des applications Windows. Vous devez rechercher ces messages dans le journal des événements afin de vous assurer que l'ensemble des activités de déploiement d'assembly sont conformes à vos stratégies en matière de traitement des données sensibles.

  Le message généré dans le journal des événements pour le déploiement est :

  L’utilisateur «{1} » a déployé l’assembly «{0} » contenant des schémas de propriété.

  Le message généré dans le journal des événements pour l'annulation du déploiement est :

  L’utilisateur «{1} » a déséployé l’assembly «{0} » contenant des schémas de propriété.

• Si l'application contient un répertoire virtuel, soyez conscient que les paramètres de sécurité du répertoire virtuel utilisés sont ceux qui sont activés lorsque le fichier .msi est généré au cours de l'exportation de l'application. Si vous déployez une application dans un environnement de production, vérifiez que les paramètres répondent à vos exigences en matière de sécurité avant de l'exporter.

  Toutefois, si vous déployez une application comprenant un répertoire virtuel et que le répertoire virtuel existe déjà dans l'environnement de destination, les paramètres de sécurité du répertoire virtuel existant seront utilisés. Ils ne sont pas modifiés afin de correspondre à ceux du répertoire virtuel que vous déployez. Vous devez vérifier qu'ils répondent à vos exigences.

  Attention

  Si le répertoire virtuel utilise le protocole HTTPS (Hypertext Transfer Protocol over Secure Socket Layer), ses paramètres de sécurité ne sont pas conservés lors de l'exportation, et lorsqu'il est importé, il hérite de ceux du répertoire racine. Vous devez vérifier que ces paramètres de sécurité répondent à vos exigences.

• Si le pool d'applications spécifié pour un service Web n'existe pas lorsque vous importez une application, le pool d'applications par défaut est utilisé. Les paramètres de sécurité de ce pool d'applications par défaut peuvent ne pas répondre à vos besoins. Nous vous conseillons donc de créer le pool d'applications et de configurer les paramètres de sécurité appropriés avant l'importation de l'application, ou de vérifier que les paramètres du pool d'applications par défaut vous conviennent.

• Assurez-vous que vous faites confiance à la source des fichiers du programme d'installation de Windows Installer (.msi) que vous déployez afin d'éviter tous les problèmes de sécurité qui pourraient être générés par des créateurs de fichiers .msi malveillants. Pour plus d’informations, consultez Sécurité et Windows Installer.

• Vérifiez que vous disposez des autorisations adéquates pour déployer les applications. Pour plus d’informations, consultez Autorisations requises pour le déploiement et la gestion d’une application BizTalk.

• Assurez-vous que seuls les administrateurs BizTalk ont accès aux assemblys, fichiers de liaison et fichiers de stratégie, car ils peuvent contenir des données vitales pour l'entreprise, comme les informations sur la connectivité et la configuration. Si vous déployez des applications par le biais d'un partage réseau, configurez la liste de contrôle d'accès discrétionnaire sur le partage réseau de telle sorte que seuls les administrateurs BizTalk puissent voir son contenu. Pour plus d’informations sur les comptes de groupe et d’utilisateur, consultez Groupes et comptes d’utilisateur Windows dans BizTalk Server.

• Lorsque vous exécutez les tâches de déploiement, BizTalk Server communique avec la base de données de gestion BizTalk. Si ces éléments sont séparés par un pare-feu, vous devez ouvrir les ports appropriés sur le pare-feu entre les domaines de traitement, de services et de données. Pour plus d’informations, consultez Ports requis pour BizTalk Server.

• Si vous pointez vers un emplacement distant pour un assembly, un fichier de liaison ou un autre fichier de ressources pouvant contenir des données sensibles, assurez-vous de la sécurité du réseau entre l'ordinateur source et l'ordinateur sur lequel vous exécutez le déploiement. Si le réseau entre ces deux ordinateurs n'est pas totalement protégé contre les agresseurs potentiels, copiez le fichier cible sur un support amovible et transportez-le physiquement sur l'ordinateur à partir duquel vous exécutez le déploiement.

Voir aussi

Considérations relatives à la sécurité pour le déploiement d’applications