Partager via

Conception d'une architecture sécurisée

  • Article

Pour obtenir des informations complètes sur l’architecture système pour BizTalk Server déploiement, consultez Exemples d’architectures BizTalk Server.

L’architecture présentée dans la rubrique Grande architecture distribuée traite de nombreuses menaces de sécurité potentielles auxquelles un environnement BizTalk est vulnérable. Pour déterminer l'architecture adaptée à votre situation, vous devez évaluer les actifs de votre entreprise, les menaces auxquelles elle est confrontée et les ressources disponibles pour protéger vos actifs et réduire les menaces potentielles. Cette section fournit des options de sécurité supplémentaires que vous pouvez prendre en compte lors de la conception de votre architecture BizTalk Server.

Pare-feux

Vous pouvez utiliser des pare-feu physiques (matériels) ou logiciels pour restreindre l'accès aux ressources de votre environnement. Bien que la rubrique Grande architecture distribuée utilise le serveur Forefront Threat Management Gateway (TMG) 2010, vous pouvez créer une architecture similaire à l’aide de pare-feu matériels ou logiciels tiers, à condition d’ouvrir et de configurer les ports nécessaires pour la communication entre les différents composants BizTalk Server. Pour plus d’informations sur les ports utilisés par BizTalk Server, consultez Ports obligatoires pour BizTalk Server.

Active Directory

Dans l'exemple de déploiement, le service d'annuaire Active Directory® permet de créer une limite de sécurité en dur autour de chaque groupe de serveurs. Les approbations unidirectionnelles permettent de renforcer la protection de l'environnement BizTalk Server face aux attaques liées aux défauts d'autres applications non-BizTalk Server exécutées sur les serveurs de traitement, tandis que les applications BizTalk Server sont exécutées sous des comptes créés dans le domaine de données. Comme le domaine de données n'approuve pas les comptes dans les autres domaines, la compromission d'un compte dans un autre domaine n'affecte pas l'environnement BizTalk Server.

IPSec et SSL

Si votre environnement n'est pas affecté par les menaces critiques nécessitant le niveau de sécurité fourni par les pare-feu, mais que les segments de réseau qui connectent les domaines de données, de traitement et de services ne sont pas sécurisés physiquement contre les attaques réseau (par exemple, détection ou falsification des paquets), vous devez protéger les données tandis que celles-ci sont transmises entre des serveurs. Dans ce cas, vous pouvez utiliser le protocole IPSec (Internet Protocol security) ou SSL (Secure Sockets Layer) pour chiffrer le trafic entre les serveurs.

Voir aussi

Conception d’une architecture distribuée
Planification de la sécurité
Conception des architectures système pour BizTalk Server
Exemples d’architectures BizTalk Server