domingo, 11 de marzo de 2012

Asegurando nuestra granja de SharePoint 2010

Cuando pensamos en seguridad dentro de la empresa para los productos de Microsoft debemos hablar de los productos para servidores Microsoft Forefront.  Hoy en día Microsoft dispone de toda la gama de infraestructura necesaria para proteger los servidores Windows Server esta son: Firewall para protección de la red interna, Antivirus para los archivos de sistema y Antivirus para el contenido de los portales.

En este artículo echaremos un vistazo a los productos Forefront disponibles para proteger nuestra granja de Servidores SharePoint 2010 y mencionaremos los otros productos que podrían estar en un escenario real dentro de las organizaciones.

Escenario:

El portal deberá exponerse de cara al internet para una extranet es decir usuarios internos que accederán el portal desde el internet.  Para ello realizaremos el siguiente diseño de arquitectura:

image

En este diseño los usuarios acceden desde una conexión al internet el portal Web de SharePoint no sin antes pasar por un primer filtro que delimita la forma de comunicarse al portal Web de SharePoint, esto lo hace a través del un servidor:

Forefront Threat Management Gateway 2010 o Forefront TMG-2010,esta configuración se le llama Edge Firewall, ya que el servidor se encuentra al final de la red interna y conectado directamente a la red externa.  Este es la primera línea de defensa limitando los puertos de acceso, inspeccionando el https. El cable de la WAN o sea que proviene del proveedor de Internet se conecta directamente a este servidor el cual tiene dos tarjetas de Red; una para la WAN y otra para la LAN o red Interna corporativa.

El Front-End de SharePoint que contiene la interfaz de usuario Web de SharePoint esta delimitada lógicamente en una zona desmilitarizada o DMZ, también es conocida como red perimetral.  Como el portal esta de cara al internet es recomendado que la comunicación sea a través de certificados de encriptación entre el cliente y el servidor y sea por medio del protocolo HTTPS o Secure Socket Layer. Aquí no se encuentra el Central Administration de SharePoint 2010 y mucho menos las bases de datos de contenido, únicamente la interfaz web que recibe las solicitudes filtradas del Forefront TMG-2010.  Aquí también instalaremos el producto para proteger todos los archivos que se suban y lean en las bibliotecas de SharePoint este es Forefront Protection 2010 for SharePoint o FPFS 2010.

El Back-End Forefront TMG 2010.  Este servidor en cuanto a producto es el mismo servidor de Edge Firewall, pero esta configurado para ser la ultima línea de defensa para la red interna o corporativa con reglas mas restrictivas especialmente para las solicitudes de entrada o inbound.

SharePoint Back-End or Database Server.  Aquí se encuentran todas las bases de datos de SharePoint (Configuración, Contenido, Servicios, Búsqueda, Perfiles de Usuario).

SharePoint Application Server; donde esta instalado el Central Administration.  Es una buena práctica recomendada por microsoft que el Central Administration este instalado en el servidor que tiene el Rol de Aplicación y que no este en el servidor Front-End donde esta expuesto a los ataques de usuarios malintencionados.   Si nos atacan el servidor Front-End no podrá afectar mucho mas allá de los servicios de la interfaz web y posiblemente la extracción del contenido del portal si el ataque fue contundente, pero podrá ser restablecido con cierta rapidez ya que los servidores de aplicación y de base de datos se encuentra protegidos por varias capas de seguridad y restricción.  Además podemos tener una configuración de la granja de alta disponibilidad donde contamos con redundancia en el front-end, aplication Server y una configuración de Cluster o Mirroring de lado de base de datos.  Si realizamos indagación o crawling de contenido que esta en File Server debemos de contar con protección a nivel de archivos y para ello debemos de tener instalado el producto Microsoft® Forefront® Endpoint Protection 2010 (FEP).

En este artículo vimos 3 productos que no deberían de faltar en nuestra granja de SharePoint para proteger nuestros servidores.

  • El Firewall Forefront Threat Management Gateway 2010
  • El Antivirus para el sistema de archivos Forefront Endpoint Protection 2010
  • Y el Antivirus para el contenido de SharePoint Forefront Protection 2010 for SharePoint.

Y por ultimo y no por ello menos importante el diseño de la arquitectura de la red (externa, perimetral e interna) para asegurarnos que los servicios que si deben estar expuestos están asegurados y los que no bien resguardados.

SharePoint4Fun!,

Juan Manuel Herrera O.

Referencias:

http://technet.microsoft.com/en-us/magazine/gg537286.aspx

http://social.technet.microsoft.com/Forums/en-US/FSSPNext/thread/01dda33b-16bd-42b0-85b1-3b87ffa6895b/

http://blogs.technet.com/b/forefront/

No hay comentarios.: