260 likes | 359 Vues
Fortificación de la arquitectura Modelo de seguridad en SharePoint Planes de respaldo Gestión de la auditoría Protección contra fugas de datos Publicación segura. Agenda. Fortificación de sistemas.
E N D
Fortificación de la arquitectura • Modelo de seguridad en SharePoint • Planes de respaldo • Gestión de la auditoría • Protección contra fugas de datos • Publicación segura Agenda
Fortificación de sistemas • Dependiente del rol/roles a desempeñar por el sistema, se realizaran configuraciones ajustadas aplicando las reglas de fortificación: • MPE (Mínimo Punto de Exposición): Un sistema deje ejecutar sólo aquel software imprescindible para el desempeño de sus funciones • MPP (Mínimo Privilegio Posible): Todos los componentes de un sistema deben ser ejecutados con los privilegios mínimos imprescindibles • DeP (Defensa en Profuncidad): Un sistema debe aplicar tantas medidas de seguridad como pueda, asumiendo que todas las anteriores han fallado, siempre y cuando una medida de seguridad no anule a otras y la disponibilidad del sistema no se degrade
Administrador del servidor • Servidores de Microsoft configurados en base a roles mediante la herramienta Server Manager • Aplica el principio del Mínimo Punto de Exposición • No configura reglas de firewall, opciones de seguridad en servicios o configuraciones de registro ajustadas a la seguridad
Asistente de Configuración de Seguridad • Disponible para plataformas Windows Server 2003 o superior a partir de SP1 • Configuración automática del sistema en función de los roles que se ejecuten • Reduce la superficie de ataque mediante conjuntos de preguntas al usuario por el entorno que se desea obtener para determinar los parámetros de seguridad • Se encarga de: • Deshabilitar servicios innecesarios así como desactivar extensiones web innecesarias en IIS • Bloqueo de puertos no utilizados y apertura de puertos segura utilizando IPSec • Configura parámetros de auditoría (acciones y resultados auditados en el registro de eventos) • Importa plantillas de seguridad existentes • Reduce la exposición del protocolo para LDAP, NTLM y Server Message Block • Plantillas de reducción de superficie en entornos SharePoint para el asistente de configuración de seguridad mediante Microsoft SharePoint 2010 AdministrationToolkit v1.0
Microsoft Baseline Security Analyzer • Herramienta de auditorías de seguridad • Detecta fallos o deficiencias en las actualizaciones de seguridad o en apartados que inciden directamente en SharePoint como: • Seguridad en el sistema Windows • Seguridad en Internet Information Services • Seguridad en SQL Server • Configuraciones administrativas
Monitorización de servicios • Control de arquitecturas SharePoint mediante System Center Operations Manager (SCOM) • Microsoft SharePoint Foundation Management Pack for SCOM 2007 • Microsoft SharePoint 2010 Management Pack for SCOM 2007 • SCOM incorpora un asistente de monitorización de sitios que permite: • Realizar conexiones periódicas entre distintos equipos desde distintos lugares de la organización verificando y comprobando la accesibilidad y su estado funcional • Monitorización de los intervalos de respuesta obtenidos • Control de servidores en ubicaciones o sitios geográficos dispersos mediante la gestión de aplicaciones distribuidas
Actualizaciones periódicas • Plan de actualizaciones periódicas mediante el rol Windows Server Update Services (WSUS) • Monitorización a través de políticas de grupo del estado de salud en cuanto a actualizaciones se refiere • Entornos más avanzados como System Center Configuration Manager (SCCM) permiten la opción de un despliegue forzado de actualizaciones
Cuentas administradas • Se incorpora la gestión de cuentas administradas con cambios de contraseñas automático • Administración más coherente de cuentas utilizadas en los grupos de aplicaciones o servicios de SharePoint
Seguridad en aplicaciones web • Directiva de usuario de aplicación web • Permiten administrar los permisos que se aplicarán sobre una determinada aplicación web a usuarios o grupos • Útil para establecer que distintos usuarios o grupos de seguridad obtengan diferentes niveles de acceso a través de una zona a todas las colecciones de sitios dentro de una aplicación web • Métodos de autenticación • Autenticación en modo clásico • Permite el uso de proveedores de autenticación Windows • Anónima, básica, NTLM, implícita, certificados, negociación (kerberos) • Autenticación basada en notificaciones • Basada en Microsoft Windows Identity Foundation (WIF) • Permite el uso de proveedores de autenticación Windows, autenticación basada en formularios (FBA) y autenticación basada en token SAML permitiendo el uso de: • Servicios de federación de Active Directory • Windows Live ID • Proveedores de identidad de terceros
Servicio de almacenamiento Seguro • Aplicación de servicio que sustituye a la característica de inicio de sesión único existente en la versión anterior • Configuración requerida para proporcionar soporte a otras aplicaciones de servicio que requieran de credenciales de acceso a orígenes de datos externos • Se utiliza una base de datos segura donde se almacenan identificadores de aplicación para ser recuperados en el acceso a los orígenes de datos
Privilegios de acceso • Privilegios de acceso a la granja • Administrador de la granja de servidores • Administrador de la aplicación de servicio • Privilegios de acceso al contenido • Permisos de usuario de la aplicación web • Administrador de la colección de sitios • Modelo de seguridad de una colección de sitios • Usuarios y grupos • Niveles de permisos • Acceso anónimo
Características de seguridad • Integración con RMS • Tipos de archivos bloqueados • Manejo de archivos en el explorador • HTTP X-Download-options:noopen • Analizador de salud de SharePoint • Métricas de seguridad
Copias de seguridad • Copia de seguridad del conjunto de servidores • Panel de disponibilidad: • Indicadores visuales que nos advierten de si podemos realizar una copia de seguridad con éxito • Copia de seguridad de servicios: • Servicios de Excel, servicios de Formularios de Infopath, etc. • Limpieza de trabajos de copia de seguridad automática • Parámetros preconfigurados • Nº de subprocesos • Ubicación de la copia de seguridad • Copia de seguridad mediante PowerShell
Copias de seguridad • Copia de seguridad pormenorizada • Copia de seguridad de una colección de sitios • Exportación de sitios o listas mediante entorno gráfico • La exportación de sitios o listas permite elegir: • Exportar el modelo de seguridad • Exportar la información de versiones
Gestión de auditorías • La gestión de contenido empresarial engloba: • Administración de documentos • Administración de registros • Administración de activos digitales • La administración de documentos engloba: • Navegación mediante metadatos • Control de versiones • Aprobación de documentos • Directivas de administración de la información • Encargadas de los registros de auditoría
Gestión de auditorías • Directivas de administración de información • Auditorías • Códigos de barras • Retención • Etiquetas • Informes de uso de directivas • Informes de registros de auditoría • Configuración de auditoría de la colección de sitios • Registro de diagnósticos
Protección contra fugas de datos • Riesgos de seguridad y privacidad asociados a los metadatos (Tony Blair in the butt) • Esquema Nacional de la Seguridad • Artículo 5.7.6 «Limpieza de documentos» • Prevención de Fuga de Datos (Data LostPrevention) mediante herramientas de limpieza de metadata • Microsoft Office XP, 2003: RemoveHidden Data ToolAdd-in • Microsoft Office 2007, 2010: Nativo mediante el menú Preparar • MetaShield Protector • Herramienta para la eliminación de datos ocultos en sitios web y arquitecturas SharePoint
Protección contra fugas de datos Funcionamiento de MetaShield Protector: • MetaShield Protector “captura” las peticiones de ficheros al Servidor Web. • Recupera el contenido del fichero y lo limpia en memoria. • Sirve el fichero limpio al cliente
Publicación segura • Gestión antimalware y filtrado, protección de datos en tránsito o publicación segura mediante comprobación de seguridad en cliente mediante línea Forefront: • Protección antimalware con Forefront Protection for SharePoint 2010 (Antivirus) • Protección perimetral con Forefront Unified Access Gateway 2010 (Portal de autenticación unificado y comprobación de seguridad en el equipo cliente) • Protección con Forefront Threat Management Gateway 2010 (Firewall)
Rubén Alonso Cebrián MVP SharePoint Technologies Consultor de BBDD y Colaboración en Informática 64 Libro: “SharePoint 2010: Seguridad”: http://www.informatica64.com/libros.aspx?id=sharepoint Blog:http://www.puntocompartido.com/BlogShare HandsOnLab: http://www.informatica64.com/MainHols.aspx ----------------------------------------------------------------------------------------- * Todas aquellas personas que hayáis asistido a CEUS VI disponéis de un descuento del 20% en los HandsOnLab y el Libro “SharePoint 2010: Seguridad”, si realizáis vuestra inscripción antes del 12 de noviembre de 2010. Sólo tenéis que indicar el código “PROMOCEUSi64” al realizar la reserva.