El documento describe varias estrategias y herramientas para fortalecer la seguridad de una implementación de SharePoint 2010, incluyendo fortalecer la arquitectura mediante principios como Mínimo Punto de Exposición, aplicar el modelo de seguridad de SharePoint, establecer planes de respaldo y auditoría, proteger contra fugas de datos y publicar contenido de manera segura.
1. Fortificación de SharePoint 2010
Rubén Alonso
Microsoft MVP SharePoint
ralonso@infomatica64.com
http://www.puntocompartido.com/blogshare
2. Agenda
Fortificación de la arquitectura
Modelo de seguridad en SharePoint
Planes de respaldo
Gestión de la auditoría
Protección contra fugas de datos
Publicación segura
4. Fortificación de sistemas
Dependiente del rol/roles a desempeñar por el sistema, se
realizaran configuraciones ajustadas aplicando las reglas de
fortificación:
MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo
aquel software imprescindible para el desempeño de sus funciones
MPP (Mínimo Privilegio Posible): Todos los componentes de un
sistema deben ser ejecutados con los privilegios mínimos
imprescindibles
DeP (Defensa en Pronuncidad): Un sistema debe aplicar tantas
medidas de seguridad como pueda, asumiendo que todas las anteriores
han fallado, siempre y cuando una medida de seguridad no anule a
otras y la disponibilidad del sistema no se degrade
5. Administrador del servidor
Servidores de Microsoft configurados en base a roles
mediante la herramienta Server Manager
Aplica el principio del Mínimo Punto de Exposición
No configura reglas de firewall, opciones de seguridad en
servicios o configuraciones de registro ajustadas a la
seguridad
6. Asistente de Configuración de Seguridad
Disponible para plataformas Windows Server 2003 o superior a partir de SP1
Configuración automática del sistema en función de los roles que se ejecuten
Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por
el entorno que se desea obtener para determinar los parámetros de seguridad
Se encarga de:
Deshabilitar servicios innecesarios
Desactiva extensiones web innecesarias en IIS
Bloque de puertos no utilizados y apertura de puertos segura utilizando IPSec
Configura parámetros de auditoría (acciones y resultados auditados en el
registro de eventso)
Importa plantillas de seguridad existentes
Reduce la exposición del protocolo para LDAP, NTLM y Server Message
Block
Plantillas de reducción de superficie en entornos SharePoint para el asistente
de configuración de seguridad mediante Microsoft SharePoint 2010
Administration Toolkit v1.0
7. Microsoft Baseline Security Analyzer
Herramienta de auditorías de seguridad
Detecta fallos o deficiencias en las
actualizaciones de seguridad o en apartados que
inciden directamente en SharePoint como:
Seguridad en el sistema Windows
Seguridad en Internet Information Services
Seguridad en SQL Server
Configuraciones administrativas
8. Monitorización de servicios
Control de arquitecturas SharePoint mediante System Center
Operations Manager (SCOM)
Microsoft SharePoint Foundation Management Pack for SCOM 2007
Microsoft SharePoint 2010 Management Pack for SCOM 2007
SCOM incorpora un asistente de monitorización de sitios que
permite:
Realizar conexiones periódicas entre distintos equipos desde distintos lugares
de la organización verificando y comprobando la accesibilidad y su estado
funcional
Monitorización de los intervalos de respuesta obtenidos
Control de servidores en ubicaciones o sitios geográficos dispersos mediante
la gestión de aplicaciones distribuidas
9. Actualizaciones periódicas
Plan de actualizaciones periódicas mediante el
rol Windows Server Update Services (WSUS)
Monitorización a través de políticas de grupo del
estado de salud en cuanto a actualizaciones se
refiere
Entornos más avanzados como System Center
Configuration Manager (SCCM) permiten la
opción de un despliegue forzado de
actualizaciones
11. Cuentas administradas
Se incorpora la gestión de cuentas administradas con
cambios de contraseñas automático
Administración más coherente de cuentas utilizadas en
los grupos de aplicaciones o servicios de SharePoint
12. Seguridad en aplicaciones web
Directiva de usuario de aplicación web
Permiten administrar los permisos que se aplicarán sobre una determinada aplicación
web a usuarios o grupos
Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes
niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una
aplicación web
Métodos de autenticación
Autenticación en modo clásico
Permite el uso de proveedores de autenticación Windows
Anónima, básica, NTLM, implícita, certificados, negociación (kerberos)
Autenticación basada en notificaciones
Basada en Microsoft Windows Identity Foundation (WIF)
Permite el uso de proveedores de autenticación Windows, autenticación basada en
formularios (FBA) y autenticación basada en token SAML permitiendo el uso de:
Servicios de federación de Active Directory
Windows Live ID
Proveedores de identidad de terceros
13. Servicio de almacenamiento Seguro
Aplicación de servicio que sustituye a la característica de
inicio de sesión único existente en la versión anterior
Configuración requerida para proporcionar soporte a
otras aplicaciones de servicio que requieran de
credenciales de acceso a orígenes de datos externos
Se utiliza una base de datos segura donde se almacenan
identificadores de aplicación para ser recuperados en el
acceso a los orígenes de datos
14. Privilegios de acceso
Privilegios de acceso a la granja
Administrador de la granja de servidores
Administrador de la aplicación de servicio
Privilegios de acceso al contenido
Permisos de usuario de la aplicación web
Administrador de la colección de sitios
Modelo de seguridad de una colección de sitios
Usuarios y grupos
Niveles de permisos
Acceso anónimo
15. Características de seguridad
Integración con RMS
Tipos de archivos bloqueados
Manejo de archivos en el explorador
HTTP X-Download-options:noopen
Analizador de salud de SharePoint
Métricas de seguridad
17. Copias de seguridad
Copia de seguridad del conjunto de servidores
Panel de disponibilidad:
Indicadores visuales que nos advierten de si podemos realizar
una copia de seguridad con éxito
Copia de seguridad de servicios:
Servicios de Excel, servicios de Formularios de Infopath, etc …
Limpieza de trabajos de copia de seguridad automática
Parámetros preconfigurados
Nº de subprocesos
Ubicación de la copia de seguridad
Copia de seguridad mediante PowerShell
18. Copias de seguridad
Copia de seguridad pormenorizada
Copia de seguridad de una colección de sitios
Exportación de sitios o listas mediante
entorno gráfico
La exportación de sitios o listas permite
elegir:
Exportar el modelo de seguridad
Exportar la información de versiones
20. Gestión de auditorías
La gestión de contenido empresarial engloba:
Administración de documentos
Administración de registros
Administración de activos digitales
La administración de documentos engloba:
Navegación mediante metadatos
Control de versiones
Aprobación de documentos
Directivas de administración de la información
Encargadas de los registros de auditoría
21. Gestión de auditorías
Directivas de administración de información
Auditorías
Códigos de barras
Retención
Etiquetas
Informes de uso de directivas
Informes de registros de auditoría
Configuración de auditoría de la colección de sitios
Registro de diagnósticos
23. Protección contra fugas de datos
Riesgos de seguridad y privacidad asociados a los
metadatos (Tony Blair in the butt)
Esquema Nacional de la Seguridad
Artículo 5.7.6 «Limpieza de documentos»
Prevención de Fuga de Datos (Data Lost Prevention)
mediante herramientas de limpieza de metadata
Microsoft Office XP, 2003: Remove Hidden Data Tool Add-in
Microsoft Office 2007, 2010: Nativo mediante el menú Preparar
MetaShield Protector
Herramienta para la eliminación de datos ocultos en
sitios web y arquitecturas SharePoint
24. Protección contra fugas de datos
Funcionamiento de MetaShield Protector:
MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.
Recupera el contenido del fichero y lo limpia en memoria.
Sirve el fichero limpio al cliente
http://www.metashieldprotector.com
26. Publicación segura
Gestión antimalware y filtrado, protección de
datos en tránsito o publicación segura mediante
comprobación de seguridad en cliente mediante
línea Forefront:
Protección antimalware con Forefront Protection
for SharePoint 2010 (Antivirus)
Protección perimetral con Forefront Unified Access
Gateway 2010 (Portal de autenticación unificado y
comprobación de seguridad en el equipo cliente)
Protección con Forefront Threat Management
Gateway 2010 (Firewall)
27. Información de interés
Punto compartido (http://www.puntocompartido.com/blogshare)
Informática 64 (http://www.informatica64.com)
Seguros con Forefront (http://www.forefront-es.com)
Libro Microsoft SharePoint 2010: Seguridad
http://www.informatica64.com/libros.aspx
SharePoint User Group Spain , SUGES
(http://www.suges.es)
28. Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp
Para información y registro de Futuros Webcast de éste y otros temas diríjase a:
http://www.microsoft.es/technet/jornadas/webcasts/default.asp
Para mantenerse informado sobre todos los Eventos, Seminarios y webcast
suscríbase a nuestro boletín TechNet Flash en ésta dirección:
http://www.microsoft.es/technet/boletines/default.mspx
Descubra los mejores vídeos para TI gratis y a un solo clic:
http://www.microsoft.es/technet/itsshowtime/default.aspx
Para acceder a toda la información, betas, actualizaciones, recursos, puede
suscribirse a Nuestra Suscripción TechNet en:
http://www.microsoft.es/technet/recursos/cd/default.mspx