|
راهكارهاي امنيتي شير پوينت
|
|
|
مترجم:زهرا شریعتی
|
|
مقدمه
امروزه امنيت موضوع مهمي است و روشن است كه بايد از داده ها حفاظت شود. با اين حال مقادير قابل توجهي از داده ها همچنان بدون محافظت رها شده اند. اما چرا؟ اگر شما اين مقاله را بخوانيد در اين كه اجراي راهكارهاي امنيتي همچنان كار پيچيده اي است، با من هم عقيده خواهيد شد و البته خواهيد ديد كه با وجود شير پوينت ايجاد امنيت ديگر كار غيرممكني نيست.
شيرپوينت2007 داراي ويژگي ها و راهكارهاي مهم امنيتي است. يك دليل مهم براي صحت اين ادعا وجود تيم ASP.NET است كه بسياري از اين مفاهيم را در شيرپوينت 2007 ايجاد نموده است.
به عنوان نمونه در مديريت شيرپوينت، امنيت شيرپوينت 2007 توسط افراد زيادي در سطوح مختلف مورد استفاده قرار گرفته است. البته اين مديران IT هستند كه تعيين ميكنند در راستاي احراز هويت وامنيت ، به عنوان بخشي از پيكره بندي پارك سرور، چه روش هايي موثراست. همچنين مديران بايد سطوح احراز هويت را در پارك سرورهاي اشتراكي پيكره بندي كنند. و سپس مديران مجموعه سايت و صاحبان سايت به صورت جداگانه احراز هويت محتوا را مديريت كنند. آنها هر دو به يك نسبت مهم هستند و اگر مديريت محتوا به صورت اشتباهي به يك شخص دسترسي بدهد حتي بهترين پارامترهاي امنيتي نيز با شكست روبروخواهد شد. بنابراين حتي بازرسي ها و گزارشات نيز جهت نظارت بر چگونگي استفاده و شناسايي هرگونه نفوذ در كل پيكربندي مهم هستند.
يكي از امكانات امنيتي شيرپوينت2007 "دسترسي هاي خرد" است. اين بدين معناست كه دسترسي ها مي توانند حتي در سطح يك بخش كوچك نظير مستندات شخصي و همچنين پوشه هاي يك ليست يا مجموعه برنامه ها اعمال شوند. اين امر به گروه ها، نقش ها و كاربران موجود اختيار و قدرت بيشتري ميدهد يعني راحت تر مي توان استثنا قائل شد و بدون نياز به تغيير در قوانين امنيتي كل، سريعتر ميتوان (به صورت موقت) به يك سند دسترسي داد.
در اولين نگاه ممكن است عجيب به نظر برسد كه شيرپوينت به صورت پيش فرض به جاي نصب يك سايت اينترنتي بدون محدوديت، يك پورتال همكاري امن نصب ميكند كه از نظر نقطه نظر امنيتي قابل قبول تر است. البته مايكروسافت امكانات ديگري نيز دارد: حتي وقتي كه دسترسي ناشناس فعال است باز هم به صورت پيش فرض دسترسي به نسبت خيلي محدودتر است. با دسترسي ناشناس تغيير در مديريت سايت و محتواي مستندات كاملا غيرممكن است.
احراز هويت و رمزگذاري
امنيت ارتباط نزديكي با مفاهيم احراز هويت و رمزگذاري دارد كه در شيرپوينت2007 هيچ گونه محدوديتي از اين نظر وجود ندارد. بنابراين طرح ريزي احراز هويت اولين گام ضروري در ايجاد بستري امن است. شيرپوينت2007 حداقل از 9 راهكارهويت سنجي پشتيباني ميكند. در زمان نصب شيرپوينت، روش هويت سنجي NTLM (مخفف مديريت شبكه محلي NT كه به سادگي همان احراز هويت ويندوزي است كه همه با آن آشنا هستند) و Kerberos (احراز هويت استاندار ويندوزي) پيشنهاد ميشوند اما پيشنهاد ميشود كه با NTLM شروع كنيد زيرا كه Kerberos به" تنظيمات ويژه توسط مدير دامنه" نياز دارد در صورتي كه NTLM به چنين تنظيماتي نياز ندارد.
در بسياري از نصب ها دسترسي نامحدود اينترنت نياز است. در اين موارد احراز هويت برپايه فرم به همراه رمزگذاريSSL يك استاندارد غير رسمي است كه بايد اجرا شود. چنان چه يك پيكربندي سرويس- سروري نياز باشد ممكن است هم Kerberos و همsingle sign-on (SSO) مورد استفاده قرار گيرند.
رمزگذاري
-
IT از آنجايي كه رمزگذاري ميتواند با روش هاي مختلف احراز هويت مورد استفاده قرار گيرد، بهتر است ابتدا به اين مسئله بپردازيم. دو نوع ارتباط به اعمال امنيت نياز دارد: ارتباط كلاينت-سرور و همچنين ارتباط بين سرورها در پارك (مگر اين كه در يك محيط امن با هم در ارتباط باشند). مايكروسافت استفاده از IPS و SSL را پيشنهاد ميكند. احتمالا تاكنون در اينترنت از http هايي كه از SSL استفاده ميكند، استفاده نموده ايد. اما خوب است كه كمي به صورت كلي به پيش زمينه فن آوري TCP/IP و موقعيتي كه مناسبIPSec و SSL/TLS باشد بپردازيم.
در مقايسه IPSec باSSL ، IPSec جهت امنيت كل اتصالات بين دو سرور مناسب است در صورتي كه SSL ميتواند جهت حفاظت از ارتباطات خردتر روي برنامه هاي ويژه استفاده شود. البته هر دو ميتوانند تاثير منفي روي كارايي داشته باشند و بنابراين بهتر است به جاي استفاده از همه آنها تنها از بعضي از امكانات آنها استفاده نمود.
در ويندوز2003 IPSec ازسه شيوه مختلف احراز هويت پشتيباني مي كند: Kerberos V5,
Public key certificate و همچنين Preshared key. هنگام استفاده از SSL بايد براي يك كليد عمومي با استفاده از يكي از Certification Authorities هزينه بپردازيد البته يك استثنا مهم وجود دارد: اگر فقط براي يك پورتال همكاري داخلي نياز به دسترسي به SSL داشته باشيد ميتوانيد بدون هيچ هزينه اي با استفاده از SelfSSL در Windows Server 2003 گواهي و مجوز خودتان را ايجاد نموده و از آن استفاده كنيد .
سرويس دهندگان احراز هويت
شيرپوينت2007 از بسياري سرويس دهندگان احراز هويت ويندوز وIIS (سرور اطلاعاتي اينترنت) نظير Basic, Digest, Certficates, NTLM و Kerberos استفاده مي كند.علاوه بر موارد فوق ASP.NET نيز LDAP, SQL Server, Active Directory, را اضافه ميكند. براي اطلاعات بشتر به مقاله Using a SharePoint List as an Authentication Provider دروبلاگ Willie Rust مراجعه كنيد.
رابط كاربري در مديريت مركزي شيرپوينت، روش احراز هويت ويندوز را پيشنهاد ميكند (كه در بيشتر موارد به معني Kerberos وNTLM است)، در احراز هويت مبتني بر فرم (معمولا شاملBasic درارتباط با رمزگذاريSSLاست) و درWeb single sign on (كه بيشتر به همراه راه حل هاي Active Directory استفاده خواهد شد)
احراز هويت مبتني برفرم
باوجود اينكه احراز هويت بر پايه فرم خيلي مورد نياز است ، اما اجراي آن در شير پوينت2007 مشكل به نظر ميرسد. البته زماني كه شما آن را اجرا كنيد خواهيد فهميد كه آن قدرهم سخت نبوده و آنقدر نياز به كار ندارد. من نميتوانم درك كنم كه چرابخش مستند سازي تكنيكي مايكروسافت در مورد مسئله به اين مهمي توضيح نميدهد و آن را به بلاگرها مي سپارد!
احراز هويت ويندوزي
NTLM ، فرايند login استاندارد ويندوز و آن پنجره محاوره اي است كه براي همه آشناست. يك فايده مهم دارد: بدون نياز به تنظيمات اضافي كار ميكند اما استفاده از اين روش محدوديت هايي نيز دارد مانند زماني كه از چندين پارك سرور استفاده ميشود و كاربر بايد توسط سرورهاي بي شماري احراز هويت شود .
Kerberos در محيط دامنه، پيش فرض است و مزاياي پياده سازي و امنيت در NTLM را دارد. Kerberos كه در MIT ساخته شده، در سيستم هاي اجرائي سازگاري بالايي از خود نشان داده است. البته اجراي Kerberos در ابتداي كار آسان نيست. براي اطلاعات بيشتر مي توانيد به وبلاگ Martin Kearn مراجعه كنيد.
Single Sign-on
پيكربندي Single Sign-on در شيرپوينت 2007 پنج مرحله خطي است. اگر چه كه شروع اجرا SSO به طوركلي يك موضوع پيچيده است. براي اطلاعات بيشتر به اين مقاله Dave Wollerman's blog post مراجعه كنيد.
مطلب ديگري كه زياد دلچسب نيست اين است كه شيرپوينت شما را مجبور ميكند كه در Single Sign-on از Active Directory استفاده كنيد. اشتباه نكنيد. موضوع اين نيست كه AD به اندازه كافي خوب نيست اما خوب بود كه مايكروسافت اتصال به ساير مجموعه سرورها را آسانتر ميكرد. همانگونه كه به نظر ميرسد به HTTP Module اضافي نياز است تا اين ارتباط بر قرار شود. درحين يك فرآيند نصب پيچيده ممكن است كسي نخواهد كه يك نصب اضافه نيز انجام دهد.
راهبردهايي براي برنامه هاي تحت وب
در برنامه هاي تحت وب، سياست ها، جهت قانون گذاري ، ابزارهاي بسيار قدرتمندي هستند. چستجو همراه با اعمال دسترسي بر روي نتايج محتواي crawl شده نمونه خوبي ازكارآيي انها است. به گونه اي كه هر فرد تنها مجاز به خواندن آن چيزي است كه به آن دسترسي دارد.
يك نمونه بهتر ديگر از اينكه چگونه سياست هاي برنامه هاي وبي مي تواند به امن كردن راهكارهاي شيرپوينتي كمك كنند زماني است كه مي توان از آنها جهت محدودن نمودن دسترسي گروه هاي كاربري ويژه در هر سطحي در برنامه تحت وب استفاده نمود.
سياست هاي مديريت اطلاعات
در مقايسه با سياست هاي برنامه هاي كاربردي تحت وب، سياست هاي مديريت اطلاعات مي توانند جهت اعمال مجوزهاي دسترسي خردتر و همچنين فراهم شدن امكان بازبيني در مديريت داده ها استفاده شوند. امكانات قدرتمند زيادي در شيرپوينت 2007 وجود دارد و شامل انتساب برچسب هايي جهت چاپ، قوانين بازرسي، تاريخ انقضا منابع، وباركدهايي است كه حتي مي توانند جهت چستجو استفاده شود.
سياستهاي مديريت اطلاعات در سطح كلان، توسط مديرانIT با استفاده از مديريت مركزي اجرا ميشود و در سطح مجموعه سايت ها به صورت موردي به مديران اين سايت ها واگذار ميشود.
مديريت قوانين اطلاعات
IRM ازسرويس هاي مديريت قوانين ويندوز(RMS) استفاده مي كند و جهت جلوگيري از استفاده و توزيع بدون مجوز طراحي گرديده است كه براي استفاده از آن بايستي تنظيماتي در مديريت مركزي انجام شود.
موارد ديگر
رابط كاربري امنيتي از ديگر امكانات شيرپوينت2007 است. و تمام لينك هايي كه كاربر نبايستي ببيند و يا نميتواند آنها را به هيچ طريقي تغيير دهد را پنهان ميكند. همچنين شيرپوينت 2007 امكاني جهت مسدود نمودن انواع خاصي از فايل را نيز دارد. شيرپوينت 2007 و Internet Explorer از Trusted Sites, Trusted Locations and Trusted Publishers استفاده مي كنند. استفاده از اين امكانات اكيدا توصيه مي شود مخصوصا هنگام دسترسي به مجموعه برنامه هاي مركزي مستندات (مخصوصا در دسترسي http)
شيرپوينت2007 همچنين شامل API جهت اتصال به موتورهاي اسكن آنتي ويروس است. اگرچه متداول تر آن است كه مشتريان از محصول Forefront به صورت جداگانه و مكمل شيرپوينت استفاده مي كنند كه شامل اسكن ويروس در كنار ساير اقدامات امنيتي مي باشد.
Microsoft Forefront Security for SharePoint & Internet Security and Acceleration Server 2006 (ISA)
Forefront كار مقابله با ويروس ها و فيلتركردن محتوا را انجام مي دهد. مايكروسافت ادعا كرده است كه Forefront "موتورهاي اسكن چندگانه از فروشندگان برجسته صنعتي و كنترل محتوارا تكميل ميكند". تا جايي كه من اطلاع دارم Symantec از شيرپوينت پشتيباني ميكند اما MacAfee نميكند. بنابراين شما ممكن است بخواهيد چك كنيد كه آيا موتورهاي اسكن مورد علاقه شما تحت پوشش قراردارند يا خير.
اكنون ISA بخشي از از خانواده محصولات Forefront است و مايكروسافت آن را "درگاه امنيتي يكپارچه" مينامد. به عبارت ديگر درگاهي است كه شامل امكاناتFirewall و VPN(شبكه خصوصي مجازي) و احراز هويت و همچنين عامليت چگونگي Routingو Network Load Balancing ميشود. كه مطمئنا ارزش زيادي به عنوان خط مقدم دفاع براي راهكارهاي شيرپوينت اضافه مي كند.
خلاصه
نوشتن اين مقاله باعث شد تا دوباره حرفم را تاييد كنم كه : شيرپوينت2007 ويژگي هاي برجسته يك برنامه براي اجراي يك راهكار امن را دارد. من شخصا طرفدار مفهوم Alternate Access Mappings هستم كه دسترسي اينترنت، اينترانت و اكسترانت به سايت هاي همانند را به سادگي و با اعمال تنظيمات امنيتي متفاوت ممكن مي سازد.
در محيط هاي كوچك همكاري با يك پيكربندي ساده در سرور مي توانيد به سادگي از فايروال داخلي ويندوز، احراز هويت پيش فرض NTLM و گواهي هاي SSL استفاده نماييد البته و معمولا براي اجراي يك راهكار عملياتي به پيكربندي سرورهاي متعدد نياز داريد، و همچنين به روشهاي احراز هويت Kerberos، بر پايه فرم، Single Sign-on و ADFS و غيره نياز پيدا خواهيد كرد. براي ساده شدن اين كار اگر شما با تمام اين شيوه هاي پيكربندي آشنا باشيد بهتر پيش خواهيد رفت. و اگر آشنا نباشيد بهتر است كه كه از يك متخصص يكپارچه سازي سيستم كه با اين روشها آشنا است كمك بگيريد و در وقت خود صرفه جويي كنيد. اگر ميخواهيد در اين زمينه بيشتر ياد بگيريد لينك هاي موجود دراين صفحه ميتوانند به شما در موفقيت تان كمك كنند.
