Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

• Корпоративная сеть уязвима в случае компрометации внешнего пользователя.

Топология со сдвоенным брандмауэром показана на рис. 13.2. Это рекомендуемая сетевая топология для большинства организаций. Все оборудование и данные находятся в периферийной сети. Иногда роли серверов фермы и серверы сетевой инфраструктуры наподобие Active Directory и Exchange Server разделяются на несколько слоев с дополнительными маршрутизаторами или брандмауэрами. Такая гибкая топология позволяет создать дополнительные сетевые слои, что обеспечивает более надежную защиту. Внешние пользователи обращаются к периферийной сети через внешний прокси-сервер или брандмауэр, а внутренние пользователи — через внутренний прокси-сервер или брандмауэр. Эта топология имеет следующие преимущества и недостатки:

Преимущества

• Корпоративная сеть более защищена. Если внешний пользователь скомпрометирован, уязвима лишь периферийная сеть.

• Вся ферма SharePoint находится в периферийной сети.

• Внешние пользователи могут обращаться только к изолированной периферийной сети.

• Управление учетными записями внешних пользователей упрощено и изолировано от внутренней системы управления идентификацией.

Недостатки

• Нужно дополнительное оборудование и ресурсы.

• База данных контента уязвима в случае компрометации периферийной сети.

• Дополнительные издержки на управление дополнительными системами управления идентификацией.

Раздельная топология со сдвоенным брандмауэром, показанная на рис. 13.3, похожа на топологию со сдвоенным брандмауэром, но разбивает ферму SharePoint на периферийную и корпоративную сети. Пользовательские веб-интерфейсы SharePoint, некоторые серверы приложений и некоторые серверы инфраструктуры (внешняя система управления идентификацией и другие ресурсы) находятся в периферийной сети. Остальные серверы и ресурсы SharePoint — например, базы данных SQL Server и другие серверы инфраструктуры — находятся в корпоративной сети. Эта топология имеет следующие преимущества и недостатки:

Преимущества

• Корпоративная сеть еще более защищена. Если внешний пользователь скомпрометирован, уязвима лишь периферийная сеть с меньшим количеством ресурсов.

• Базы данных контента защищены даже в случае компрометации периферийной сети.

• Внешние пользователи могут обращаться только к изолированной периферийной сети.

• Управление учетными записями внешних пользователей упрощено и изолировано от внутренней системы управления идентификацией.

Недостатки

• Существенная сложность решения.

• Для данной конфигурации нужны дополнительное оборудование и ресурсы.

• Ферма уязвима в случае компрометации периферийной сети и получения злоумышленниками доступа к учетным записям фермы.

• Обмен данными внутри фермы SharePoint разделен на два домена.

Глава 13

Чтобы разобраться в модели безопасности SharePoint, необходимо понимать различие между процессом аутентификации и процессом авторизации. Аутентификация — это механизм, позволяющий системам надежно идентифицировать пользователя, пытающегося получить доступ к некому ресурсу. Авторизация — это механизм, с помощью которого система определяет уровень доступа аутентифицированного пользователя или сущности к защищенному ресурсу. Перед аутентификацией уже должен быть успешно выполнен процесс аутентификации и проведена идентификация. Сам SharePoint не выполняет никакой аутентификации; этот процесс поручается специальной системе аутентификации. Например, аутентификация Windows выполняется Windows-сервером и службой IIS. SharePoint выполняет авторизацию для доступа к защищенным ресурсам, которые находятся в сайтах, списках, библиотеках и других подобных контейнерах. В SharePoint встроены два различных режима аутентификации: классическая аутентификация и аутентификация по заявкам.

Классическая аутентификация в SharePoint 2010 использует встроенную модель аутентификации Windows, которая поддерживается в старых версиях SharePoint. При этом доступна лишь смешанная аутентификация, при которой одно веб-приложение SharePoint приходится расширять дополнительными приложениями 1IS с различными URL-адресами и поставщиками аутентификации. В этих различных URL используется один и тот же контент, но различные поставщики аутентификации могут изменять доступ и полномочия пользователей.