セキュリティ保護された外部グループ作業環境のセキュリティを計画する (Office SharePoint Server)
この記事の内容 :
バックエンド サーバーを保護する
クライアント サーバー通信をセキュリティ保護する
サーバーの全体管理サイトをセキュリティ保護する
共有サービス プロバイダの管理サイトを保護する
セキュリティ保護された設計のチェックリスト
サーバー ロールのセキュリティ強化を計画する
Office SharePoint Server 機能のセキュリティ構成を計画する
セキュリティ保護された外部環境のためのセキュリティ ガイドラインは、エクストラネット内でのコンテンツのホストを対象としており、社内ネットワークへの一般的なアクセス権を持っていない投稿者と一緒にコンテンツへのグループ作業を行うことが目的となっています。この環境では、社外のパートナーがワークフローに参加することや、社員と協力してコンテンツに関する作業を行うことができます。
セキュリティ保護された外部グループ作業環境に固有の推奨事項がいくつかあります。これらの推奨事項の中には、すべてのソリューションに有効ではないものもあります。
バックエンド サーバーを保護する
セキュリティ保護された外部グループ作業には、インターネットに面したサーバーが必要です。以下のようにバックエンド サーバーを保護することにより、インターネットからのトラフィックへの露出を制限することができます。
データベース サーバーの保護 最低でも、フロントエンド Web サーバーとデータベースをホストするサーバー間にファイアウォールを配置します。環境によっては、データベース サーバーをエクストラネット環境で直接ホストせず、内部ネットワークでホストすることが決められています。
アプリケーション サーバーを保護する 最小限の保護として、インターネット プロトコル セキュリティ (IPsec) を要求してサーバー ファーム コンピュータ間の通信をセキュリティ保護することにより、アプリケーション サーバーを保護します。さらに、データベース サーバーを保護するために使用するファイアウォールの内側にアプリケーション サーバーを配置できます。または、フロントエンド Web サーバーとアプリケーション サーバーの間に追加のファイアウォールを導入することもできます。
インデックスの役割の保護 インデックス コンポーネントはフロントエンド Web サーバーを介して通信し、サイト内のコンテンツをクロールします。この通信チャネルを保護するには、1 つ以上のインデックス サーバーを使用する専用のフロントエンド Web サーバーを構成することを検討してください。これで、ユーザーがアクセスできないフロントエンド Web サーバーからクロールの通信を分離します。さらに、インターネット インフォメーション サービス (IIS) を構成して、インデックス サーバー (または他のクローラ) だけがアクセスできるように SiteData.asmx (クローラ SOAP サービス) を制限します。コンテンツ クロール専用のフロントエンド Web サーバーを提供することには、メインのフロントエンド Web サーバーの負荷が軽減されてパフォーマンスが向上し、その結果ユーザーの操作性が向上するという利点もあります。
クライアント サーバー通信をセキュリティ保護する
エクストラネット環境でのグループ作業のセキュリティ保護は、クライアント コンピュータとサーバー ファーム環境の間の安全な通信にかかっています。適切な場合は、SSL (Secure Sockets Layer) を使用してクライアント コンピュータとサーバーとの間の通信をセキュリティ保護します。セキュリティを高めるには、以下の点を考慮します。
クライアント コンピュータで証明書を要求します。SSL はクライアント証明書がなくても実装できます。すべてのクライアント コンピュータに証明書を要求することにより、外部グループ作業のセキュリティを向上させることができます。
IPsec を使用します。クライアント コンピュータが IPsec をサポートしている場合は、SSL よりレベルや精度の高いセキュリティが得られるように IPsec ルールを構成できます。
サーバーの全体管理サイトをセキュリティ保護する
ネットワーク領域に社外ユーザーがアクセスできるため、サーバーの全体管理サイトを保護して外部アクセスをブロックし、内部アクセスを保護することが重要です。
サーバーの全体管理サイトがフロントエンド Web サーバーでホストされていないことを確認してください。
サーバーの全体管理サイトへの外部アクセスをブロックします。これは、フロントエンド Web サーバーとサーバーの全体管理サイトをホストするサーバーとの間に、ファイアウォールを配置することによって実現できます。
SSL を使用してサーバーの全体管理サイトを構成します。これにより、内部ネットワークからサーバーの全体管理サイトへの通信がセキュリティ保護されます。
共有サービス プロバイダの管理サイトを保護する
共有サービス プロバイダ (SSP) の管理サイト (SSP ごとに 1 サイト) は、フロントエンド Web サーバーにインストールされます。各 SSP 管理サイトは、専用の Web アプリケーションに作成されます。これらのサイトを保護する推奨事項は、以下のとおりです。
SSL を使用してすべての SSP 管理サイトを構成します。これによって、内部ネットワークからこれらのサイトへの通信が保護されます。
すべての外部ユーザーへのアクセスを拒否するように、Web アプリケーション用のポリシーを構成します。
セキュリティ保護された設計のチェックリスト
このデザイン チェックリストは、「概要 : サーバー ファームのセキュリティを計画する (Office SharePoint Server)」のチェックリストと共に使用してください。
トポロジ
[ ] |
フロントエンド Web サーバーとアプリケーション サーバーやデータベース サーバーとの間に少なくとも 1 台のファイアウォールを置いて、バックエンド サーバーを保護します。 |
[ ] |
コンテンツのクロールには、専用のフロントエンド Web サーバーを計画します。このフロントエンド Web サーバーは、エンドユーザーのフロントエンド Web ローテーションに含めないでください。 |
論理アーキテクチャ
[ ] |
サーバーの全体管理サイトへのアクセスをブロックし、このサイト用の SSL を構成します。 |
[ ] |
SSL を使用するように SSP 管理サイトを構成したり、SSP 管理サイトのホストを専用 Web アプリケーション内で行ったり、SSP 管理サイトへの外部アクセスを拒否するポリシーを構成したりすることによって、SSP 管理サイトをセキュリティ保護します。 |
サーバー ロールのセキュリティ強化を計画する
以下の表は、安全な社外グループ作業環境のためのその他のセキュリティ強化推奨事項を示しています。
| コンポーネント | 推奨事項 |
|---|---|
ポート |
サーバーの全体管理サイトのポートへの外部アクセスをブロックします。 |
IIS |
インデックス サーバー (または他のクローラ) だけがアクセスできるように SiteData.asmx (クローラ SOAP サービス) を制限します。 |
Office SharePoint Server 機能のセキュリティ構成を計画する
以下の表は、Microsoft Office SharePoint Server 2007 の機能をセキュリティ保護するためのその他の推奨事項を示しています。これらの推奨事項は、セキュリティ保護された外部グループ作業環境に適しています。
| 機能または領域 | 推奨事項 |
|---|---|
認証 |
認証されたユーザーに SSL を使用します。これは、サイトを参照している匿名ユーザーには適用されません。 |
承認 |
セキュリティ ポリシーを使用して、外部ユーザーの権限を制限します (外部ユーザーが行えることを制限する拒否ポリシーを作成します)。 |
個人用サイト |
個人用サイトを作成する必要があるユーザーにのみ、個人用サイトの作成権を付与します。 |
InfoPath Forms Server |
InfoPath Forms Services Web サービス プロキシを無効にします。 |
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。