Planifier la sécurité pour un environnement de collaboration sécurisé externe (Windows SharePoint Services)
Mise à jour : 2009-04-16
Dans cet article :
Protéger les serveurs principaux
Sécuriser les communications client-serveur
Sécuriser le site Administration centrale
Sécuriser la liste de vérification pour une conception sécurisée
Planifier le renforcement de la sécurité pour les rôles de serveur
Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services
Les conseils de sécurité pour un environnement sécurisé externe portent sur l’hébergement de contenu dans un extranet en vue de son exploitation commune avec des collaborateurs qui ne disposent pas d’un accès général à votre réseau d’entreprise. Cet environnement permet aux partenaires externes de participer à un flux de travail ou de collaborer au contenu avec les employés de votre organisation.
Il existe plusieurs recommandations uniques pour un environnement de collaboration sécurisé externe. Certaines de ces recommandations peuvent ne pas être pratiques pour toutes les solutions.
Protéger les serveurs principaux
La collaboration sécurisée externe nécessite des serveurs Internet. Vous pouvez limiter l’exposition au trafic à partir d’Internet en protégeant les serveurs principaux :
Protéger les serveurs de base de données : au minimum, placez un pare-feu entre les serveurs Web frontaux et les serveurs qui hébergent les bases de données. Certains environnements exigent que les serveurs de base de données soient hébergés sur un réseau interne et non directement dans un environnement extranet.
Protéger le rôle d’index : le composant d’index communique par le biais d’un serveur Web frontal pour analyser le contenu des sites. Pour protéger ce canal de communication, envisagez de configurer un serveur Web frontal dédié pour une utilisation par un ou plusieurs serveurs d’index. Cela isole la communication d’analyse sur un serveur Web frontal qui n’est pas accessible aux utilisateurs. En outre, configurez les services Internet (IIS) afin de limiter l’accès à SiteData.asmx (le service SOAP du robot) uniquement au serveur d’index (ou autres robots). Le fait de fournir un serveur Web frontal dédié à l’analyse de contenu améliore également les performances en réduisant la charge sur les serveurs Web frontaux principaux, ce qui permet d’améliorer l’expérience de l’utilisateur.
Sécuriser les communications client-serveur
La collaboration sécurisée dans un environnement extranet s’appuie sur une communication sécurisée entre les ordinateurs clients et l’environnement de batterie de serveurs. Le cas échéant, utilisez SSL (Secure Sockets Layer) pour sécuriser la communication entre les ordinateurs clients et serveurs. Pour renforcer la sécurité, envisagez les mesures suivantes :
Exigez des certificats sur les ordinateurs clients. SSL peut être implémenté sans exiger de certificats clients. Vous pouvez augmenter la sécurité de la collaboration externe en exigeant des certificats sur tous les ordinateurs clients.
Utilisez IPsec. Si les ordinateurs clients prennent en charge IPsec, vous pouvez configurer des règles IPsec pour atteindre un niveau ou une granularité de sécurité supérieur par rapport à SSL.
Sécuriser le site Administration centrale
Étant donné que les utilisateurs externes ont accès à la zone réseau, il est important de sécuriser le site Administration centrale pour bloquer l’accès externe et sécuriser l’accès interne :
Assurez-vous que le site Administration centrale n’est pas hébergé sur un serveur Web frontal.
Bloquez l’accès externe sur le site Administration centrale. Cela est possible en plaçant un pare-feu entre les serveurs Web frontaux et le serveur qui héberge le site Administration centrale.
Configurez le site Administration centrale à l’aide de SSL. Cela garantit que la communication entre le réseau interne et le site Administration centrale est sécurisée.
Sécuriser la liste de vérification pour une conception sécurisée
Utilisez cette liste de vérification pour une conception sécurisée avec les listes de vérification disponibles dans Planifier la sécurité de la batterie de serveurs (Windows SharePoint Services).
Topologie
[ ] |
Protégez les serveurs principaux en plaçant au moins un pare-feu entre les serveurs Web frontaux et les serveurs d’applications et de base de données. |
[ ] |
Planifiez un serveur Web frontal dédié à l’analyse du contenu. N’incluez pas ce serveur Web frontal dans la rotation de serveur Web frontal de l’utilisateur final. |
Architecture logique
[ ] |
Bloquez l’accès au site Administration centrale et configurez SSL pour ce site. |
[ ] |
Protégez les sites d’administration SSP en configurant ces sites à l’aide de SSL, en les hébergeant dans une application Web dédiée et en configurant une stratégie pour refuser l’accès externe à ces sites. |
Planifier le renforcement de la sécurité pour les rôles de serveur
Le tableau ci-dessous décrit des recommandations supplémentaires de renforcement de la sécurité pour un environnement de collaboration sécurisé externe.
| Composant | Recommandation |
|---|---|
Ports |
Bloquez l’accès externe au port pour le site Administration centrale. |
Services Internet (IIS) |
Limitez l’accès à SiteData.asmx (le service SOAP du robot) au serveur d’index (ou autres robots) uniquement. |
Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services
Le tableau ci-dessous décrit des recommandations supplémentaires pour la sécurisation des fonctionnalités Windows SharePoint Services 3.0. Ces recommandations sont appropriées pour un environnement de collaboration sécurisé externe.
| Fonctionnalité ou domaine | Recommandation |
|---|---|
Authentification |
Utilisez SSL pour les utilisateurs authentifiés. Cela ne s’applique pas à l’utilisateur anonyme qui navigue sur le site. |
Autorisation |
Utilisez une stratégie de sécurité pour délimiter l’autorisation accordée aux utilisateurs externes (créez des stratégies de refus pour limiter les opérations que les utilisateurs externes peuvent effectuer). |
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Planification et architecture pour Windows SharePoint Services 3.0, 2e partie (en anglais)
Planification d'un environnement extranet pour Windows SharePoint Services (en anglais)
Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.