Planejar a segurança para um ambiente externo de colaboração segura (Windows SharePoint Services)
Atualizado em: 2009-04-16
Neste artigo:
Proteger servidores back-end
Proteger a comunicação entre cliente e servidor
Proteger o site da Administração Central
Lista de verificação de design seguro
Planejar configuração de segurança para funções de servidor
Planejar configurações seguras para os recursos do Windows SharePoint Services
As diretrizes de segurança para um ambiente externo seguro estão voltadas à hospedagem de conteúdo em uma extranet para fins de colaboração de conteúdo com colaboradores que não têm acesso geral à rede corporativa. Esse ambiente permite que parceiros externos participem de um fluxo de trabalho ou colaborem no conteúdo junto com os funcionários da sua organização.
Existem diversas recomendações exclusivas para um ambiente de colaboração externo seguro. Algumas delas podem não ser práticas para todas as soluções.
Proteger servidores back-end
A colaboração externa segura exige servidores com acesso à Internet. Você pode limitar a exposição ao tráfego da Internet protegendo servidores back-end:
Proteger os servidores de banco de dados No mínimo, coloque um firewall entre os servidores Web front-end e os servidores que hospedam os bancos de dados. Alguns ambientes exigem que os servidores de banco de dados sejam hospedados em uma rede interna, em vez de diretamente em um ambiente de extranet.
Proteger a função de índice O componente de índice comunica-se por meio de um servidor Web front-end para rastrear conteúdo em sites. Para proteger esse canal de comunicação, considere a configuração de um servidor Web front-end dedicado a ser usado por um ou mais servidores de índice. Isso isola a comunicação de rastreamento a um servidor Web front-end que não pode ser acessado por usuários. Adicionalmente, configure os Serviços de Informações da Internet (IIS) para restringir SiteData.asmx (o serviço SOAP rastreador) e permitir que somente o servidor de indexação (ou outros rastreadores) o acessem. O fornecimento de um servidor Web front-end dedicado ao rastreamento de conteúdo também aprimora o desempenho ao reduzir a carga nos principais servidores Web front-end, melhorando a experiência do usuário.
Proteger a comunicação entre cliente e servidor
A colaboração segura em um ambiente de extranet se baseia na comunicação segura entre computadores clientes e o ambiente de farm de servidores. Nas situações apropriadas, use o protocolo SSL para proteger a comunicação entre computadores clientes e servidores. Para aumentar a segurança, considere os seguintes fatores:
Exigir certificados em computadores clientes. O SSL pode ser implementado sem a exigência de certificados de cliente. Você pode aumentar a segurança da colaboração externa exigindo certificados em todos os computadores clientes.
Usar o IPsec. Se os computadores clientes oferecerem suporte a IPsec, você poderá configurar regras de IPsec para atingir um nível maior de granularidade de segurança em comparação com o SSL.
Proteger o site da Administração Central
Como os usuários externos têm acesso à zona de rede, é importante proteger o site da Administração Central para bloquear o acesso externo e proteger o acesso interno:
Não hospede o site da Administração Central em um servidor Web front-end.
Bloqueie o acesso externo ao site da Administração Central. Faça isso instalando um firewall entre os servidores Web front-end e o servidor que hospeda o site da Administração Central.
Configure o site da Administração Central usando SSL. Isso garante que a comunicação da rede interna com o site da Administração Central seja segura.
Lista de verificação de design seguro
Use esta lista de verificação de design junto com as listas de verificação em Planejar a segurança do farm de servidores (Windows SharePoint Services).
Topologia
[ ] |
Proteger os servidores back-end instalando pelo menos um firewall entre os servidores Web front-end e os servidores de aplicativos e de banco de dados. |
[ ] |
Planejar um servidor Web front-end dedicado para rastreamento de conteúdo. Não inclua esse servidor Web front-end na rotação Web front-end para usuário final. |
Arquitetura lógica
[ ] |
Bloquear o acesso ao site da Administração Central e configurar o SSL para esse site. |
[ ] |
Proteger os sites de administração de SSP configurando-os com SSL, hospedando-os em um aplicativo Web dedicado e configurando uma diretiva para negar o acesso externo a eles. |
Planejar configuração de segurança para funções de servidor
A tabela a seguir descreve recomendações adicionais de configuração para um ambiente de colaboração externo seguro.
Componente | Recomendação |
---|---|
Portas |
Bloquear o acesso externo à porta do site da Administração Central. |
IIS |
Restringir o SiteData.asmx (o serviço SOAP rastreador) para permitir que somente o servidor de indexação (ou outros rastreadores) o acesse. |
Planejar configurações seguras para os recursos do Windows SharePoint Services
A tabela a seguir descreve recomendações adicionais para a proteção de recursos do Windows SharePoint Services 3.0. Essas recomendações são apropriadas para um ambiente de colaboração externo seguro.
Recurso ou área | Recomendação |
---|---|
Autenticação |
Usar o SSL para usuários autenticados. Isso não se aplica ao usuário anônimo que estiver navegando pelo site. |
Autorização |
Usar a diretiva de segurança para cobrir permissões de usuários externos (criar diretivas de negação para limitar o que os usuários externos podem fazer). |
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Parte 2 do material sobre planejamento e arquitetura do Windows SharePoint Services 3.0 (em inglês)
Planejando um ambiente de extranet para o Windows SharePoint Services (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).