Condividi tramite


Pianificare la protezione per un ambiente di collaborazione esterno protetto (Office SharePoint Server)

Contenuto dell'articolo:

  • Proteggere i server back-end

  • Proteggere le comunicazioni client-server

  • Proteggere il sito Amministrazione centrale

  • Proteggere i siti di amministrazione del provider di servizi condivisi

  • Elenco di controllo per una progettazione protetta

  • Pianificare una protezione avanzata per i ruoli del server

  • Pianificare configurazioni protette per le caratteristiche di Office SharePoint Server

Le informazioni aggiuntive sulla protezione per un ambiente esterno protetto hanno come obiettivo l'hosting del contenuto in una Extranet allo scopo di collaborare al contenuto con i collaboratori che non dispongono di accesso generale alla rete aziendale. Questo ambiente consente ai partner esterni di partecipare a un flusso di lavoro o di collaborare al contenuto con i dipendenti dell'organizzazione.

Esistono alcuni suggerimenti specifici per un ambiente di collaborazione protetto esterno. È possibile che alcuni di questi suggerimenti non siano funzionali per tutte le soluzioni.

Proteggere i server back-end

La collaborazione protetta esterna richiede server con connessione Internet. È possibile limitare l'esposizione al traffico proveniente da Internet proteggendo i server back-end:

  • Proteggere i server database   Inserire almeno un firewall tra i server Web front-end e i server che ospitano database. Alcuni ambienti impongono l'hosting dei server database in una rete interna, anziché direttamente in un ambiente Extranet.

  • Proteggere i server applicazioni   Proteggere almeno i server applicazioni impostando Internet Protocol Security (IPsec) per la protezione della comunicazione tra i computer della server farm. È inoltre possibile inserire i server applicazioni dietro il firewall utilizzato per proteggere i server database oppure è possibile introdurre un firewall aggiuntivo tra i server Web front-end e i server applicazioni.

  • Proteggere il ruolo indice   Il componente di indicizzazione comunica attraverso un server Web front-end per eseguire la ricerca per indicizzazione del contenuto nei siti. Per proteggere questo canale di comunicazione, può essere opportuno configurare un server Web front-end dedicato che verrà utilizzato da uno o più server indice. La comunicazione relativa alla ricerca per indicizzazione viene così isolata in un server Web front-end non accessibile agli utenti. Configurare inoltre Internet Information Services (IIS) in modo da applicare restrizioni a SiteData.asmx (il servizio SOAP del crawler) e consentirvi l'accesso soltanto al server indice o ad altri crawler. L'implementazione di un server Web front-end dedicato alla ricerca per indicizzazione del contenuto consente inoltre di migliorare le prestazioni riducendo il carico nei server Web front-end principali e garantendo così una migliore esperienza utente.

Proteggere la comunicazione client-server

La collaborazione protetta in un ambiente Extranet dipende dalla comunicazione protetta tra i computer client e l'ambiente della server farm. Se appropriato, utilizzare Secure Sockets Layer (SSL) per proteggere la comunicazione tra i computer client e i server. Per aumentare la protezione, è consigliabile prendere in considerazione quanto segue:

  • Richiedere certificati sui computer client. Sebbene sia possibile implementare SSL senza richiedere certificati client, è tuttavia possibile aumentare la protezione della collaborazione esterna richiedendo certificati su tutti i computer client.

  • Utilizzare IPsec. Se i computer client supportano IPsec, è possibile configurare regole IPsec per ottenere un livello o una granularità di protezione maggiore rispetto a SSL.

Proteggere il sito Amministrazione centrale

Poiché gli utenti esterni hanno accesso all'area di rete, è importante proteggere il sito Amministrazione centrale in modo da bloccare l'accesso esterno e proteggere l'accesso interno:

  • Verificare che il sito Amministrazione centrale non sia ospitato in un server Web front-end.

  • Bloccare l'accesso esterno al sito Amministrazione centrale. A tale scopo, è possibile inserire un firewall tra i server Web front-end e il server che ospita il sito Amministrazione centrale.

  • Configurare il sito Amministrazione centrale utilizzando SSL. In questo modo viene garantita la protezione della comunicazione tra la rete interna e il sito Amministrazione centrale.

Proteggere i siti di amministrazione del provider di servizi condivisi

I siti di amministrazione del provider di servizi condivisi (un sito per provider) vengono installati nei server Web front-end. Ogni sito di amministrazione di provider di servizi condivisi viene creato in un'applicazione Web dedicata. Di seguito sono elencati alcuni suggerimenti per proteggere questi siti:

  • Configurare tutti i siti di amministrazione del provider di servizi condivisi utilizzando SSL. In questo modo viene garantita la protezione della comunicazione tra la rete interna e questi siti.

  • Configurare un criterio per l'applicazione Web per negare l'accesso a tutti gli utenti esterni.

Elenco di controllo per una progettazione protetta

Utilizzare questo elenco di controllo per la progettazione unitamente agli elenchi di controllo disponibili in Panoramica: Pianificare la protezione della server farm (Office SharePoint Server).

Topologia

[ ]

Proteggere i server back-end inserendo almeno un firewall tra i server Web front-end e i server applicazioni e database.

[ ]

Pianificare un server Web front-end dedicato per la ricerca per indicizzazione del contenuto. Non includere questo server Web front-end nella rotazione di server Web front-end dell'utente finale.

Architettura logica

[ ]

Bloccare l'accesso al sito Amministrazione centrale e configurare SSL per questo sito.

[ ]

Proteggere i siti di amministrazione del provider di servizi condivisi configurandoli con SSL, ospitandoli in un'applicazione Web dedicata e configurando un criterio per negare l'accesso esterno a questi siti.

Pianificare una protezione avanzata per i ruoli del server

Nella tabella seguente vengono illustrati ulteriori suggerimenti sulla protezione avanzata per un ambiente di collaborazione protetto esterno.

Componente Suggerimento

Porte

Bloccare l'accesso esterno alla porta per il sito Amministrazione centrale.

IIS

Applicare restrizioni a SiteData.asmx, ovvero al servizio SOAP del crawler, e consentire soltanto al server di indicizzazione o ad altri crawler di accedervi.

Pianificare configurazioni protette per le caratteristiche di Office SharePoint Server

Nella tabella seguente vengono illustrati ulteriori suggerimenti per proteggere le caratteristiche di Microsoft Office SharePoint Server 2007. Questi suggerimenti sono appropriati per un ambiente di collaborazione protetto esterno.

Caratteristica o area Suggerimento

Autenticazione

Utilizzare SSL per gli utenti autenticati. Non si applica all'utente anonimo che sta esplorando il sito.

Autorizzazione

Utilizzare i criteri di protezione per limitare l'autorizzazione degli utenti esterni, ovvero creare criteri di rifiuto per limitare le operazioni che gli utenti esterni possono eseguire.

Siti personali

Concedere il diritto Creazione sito personale solo ai collaboratori che hanno la necessità di creare siti personali.

InfoPath Forms Server

Disabilitare il proxy del servizio Web InfoPath Forms Services

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese)