Планирование безопасности для среды внешнего анонимного доступа (Windows SharePoint Services)

Содержание:

• Защита фоновых серверов

• Настройка анонимного доступа

• Обеспечение безопасности сайта центра администрирования

• Отключение входящей электронной почты

• Контрольный список проекта системы безопасности

• Планирование усиления безопасности для ролей сервера

• Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

Основные направления защиты для среды внешнего анонимного доступа заключаются в том, чтобы предоставить анонимный доступ к контенту, обеспечив при этом защиту серверов фермы от прямого доступа пользователей или злонамеренных действий, направляемых через интерфейсные веб-серверы. Для среды, в которой может быть развернуто несколько ферм, поддерживающих создание, промежуточное хранение и публикацию, основные направления защиты должны быть сосредоточены на опубликованной ферме (ферме, к которой пользователи получают анонимный доступ).

Существуют несколько уникальных рекомендаций для среды внешнего анонимного доступа. Некоторые из этих рекомендаций применимы не для всех решений.

Защита фоновых серверов

Для сайтов размещения, обеспечивающих анонимное использование, необходимы серверы с выходом в Интернет. Входящий трафик, поступающий из Интернета, может быть ограничен путем защиты серверов, в том числе серверов приложений (серверов поиска) и серверов баз данных:

• Защита серверов баз данных   В качестве минимальной меры установите межсетевой экран между интерфейсными веб-серверами и серверами баз данных. В некоторых средах требуется, чтобы серверы баз данных размещались во внутренней сети, а не напрямую в экстрасети.

• Защита роли индексирования   Компонент индексирования связывается с интерфейсным веб-сервером для выполнения обхода контента сайтов. Чтобы защитить канал связи, рассмотрите возможность настройки выделенного интерфейсного веб-сервера для использования одним или несколькими серверами индексирования. При этом связь во время обхода осуществляется только через интерфейсный веб-сервер, который недоступен для пользователей. Кроме того, настройте службы IIS таким образом, чтобы к службе SiteData.asmx (служба обходчика SOAP) имел доступ только сервер индексирования (или другие обходчики). Выделение интерфейсного веб-сервера для обхода контента способствует повышению производительности за счет сокращения нагрузки на главные интерфейсные веб-серверы, что в свою очередь улучшает условия работы пользователя.

Настройка анонимного доступа

Чтобы обеспечить анонимный доступ к контенту, необходимо обеспечить следующее:

• Настройка веб-сайта или семейства веб-сайтов должна допускать анонимный доступ

• Настройка как минимум одной зоны в веб-приложении должна допускать анонимный доступ

Разрешите анонимный доступ только тем веб-приложениям, для которых необходим доступ без проверки подлинности. Если для идентификации на сайтах требуется осуществлять проверку подлинности, реализуйте проверку подлинности с помощью форм, используя простую базу данных службы проверки подлинности.

Обеспечение безопасности сайта центра администрирования

Поскольку доступ к зоне сети имеют внешние пользователи, важно обезопасить сайт центра администрирования, заблокировать внешний доступ к нему и защитить внутренний доступ. Для этого выполните следующие действия.

• Убедитесь, что сайт центра администрирования не находится на интерфейсном веб-сервере.

• Заблокируйте внешний доступ к сайту центра администрирования. Это можно обеспечить, установив межсетевой экран между веб-серверами переднего плана и сервером, на котором размещается сайт центра администрирования.

• Настройте сайт центра администрирования для использования протокола SSL. Это обеспечит безопасность связи между внутренней сетью и сайтом центра администрирования.

Отключение входящей электронной почты

Не используйте интеграцию для входящей электронной почты. Это обеспечит защиту среды от рисков, связанных с электронной почтой, отправленной из анонимных источников в Интернете. Если входящая электронная почта разрешена, настройте сайт центра администрирования для включения анонимной электронной почты. Такая возможность предусмотрена, однако в ней заключена угроза безопасности.

Контрольный список безопасного проекта

Используйте этот контрольный список проекта совместно с контрольными списками, приведенными в разделе Анализ контрольных списков проекта безопасной топологии (Windows SharePoint Services).

Топология

[ ]	Защитите фоновые серверы, установив по крайней мере один межсетевой экран между интерфейсными веб-серверами и серверами приложений и баз данных.
[ ]	Запланируйте использование выделенного интерфейсного веб-сервера для обхода контента. Не включайте этот интерфейсный веб-сервер в ротацию интерфейсных веб-серверов балансировки сетевой нагрузки конечного пользователя.

Логическая архитектура

[ ]	Разрешите анонимный доступ только для тех зон веб-приложений, в которых размещаются сайты или семейства сайтов, настроенные для анонимного доступа. Дополнительные сведения см. в разделе Планирование способов проверки подлинности (Windows SharePoint Services).
[ ]	Используйте SSL для защиты развертывания контента.
[ ]	Заблокируйте доступ к сайту центра администрирования и настройте на этом сайте протокол SSL.

Планирование мер по усилению безопасности для ролей сервера

В приведенной ниже таблице описаны рекомендации по дополнительному усилению защиты среды внешнего анонимного доступа.

Компонент	Рекомендации
Порты	Заблокируйте внешний доступ к порту сайта центра администрирования.
Протоколы	Отключите протокол SMTP.
Службы IIS	При настройке выделенного интерфейсного веб-сервера, используемого для индексирования, настройте службы IIS для разрешения доступа к файлу SiteData.asmx (службе обходчика SOAP) только серверу индексирования или другим обходчикам.

Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

Для этой среды не рекомендовано дополнительных рекомендаций.

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

• Планирование и архитектура для Windows SharePoint Services 3.0, часть 2 (на английском языке)

• Планирование среды экстрасети для служб Windows SharePoint Services (на английском языке)

• Безопасность для служб Windows SharePoint Services 3.0 (на английском языке)

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.