Zabezpečení hostování a trvalosti
Klíčovou součástí architektury technologie Windows Server AppFabric je úložiště trvalosti. Toto úložiště podporuje stálost instancí služby WF (Windows Workflow Foundation), když procházejí různými stavy spuštění. S trvalými instancemi služeb pracovních postupů můžete pracovat pomocí nástrojů pro správu v technologii AppFabric. Uživatelům technologie AppFabric, kteří spouštějí nástroje pro správu, a také spuštěným aplikacím je nutné poskytnout oprávnění k úložišti trvalosti pro čtení a zápis do tohoto úložiště dat. Přístup k úložišti trvalosti je nutné řídit také na úrovních správy a aplikace.
Důležitou roli v otázce zabezpečení hraje místo hostování aplikace. Izolace aplikace chrání data, aby je jiné aplikace nemohly zobrazit nebo k nim získat přístup. Kromě toho je důležitou součástí modelu zabezpečení technologie AppFabric řízení identity aplikace pro přístup k podřízeným zdrojům. Tato identita má vliv na objekt zabezpečení, který aplikace použije při pokusu o získání přístupu k úložišti trvalosti.
Hostování i trvalost spadají do oboru aplikace i oboru správy a je nutné je zabezpečit v každém oboru jiným způsobem. Konkrétní oprávnění jsou určována zahrnutím do různých skupin zabezpečení. Obor zabezpečení aplikace má vliv na oprávnění, která má aplikace za běhu, a je mapován na konceptuální roli Uživatelé aplikačního serveru. Obor zabezpečení správy má vliv na nástroje a související operace, které správce a systémové služby mohou provádět. Tato oprávnění jsou mapována na konceptuální role Správci aplikačního serveru a Operátoři aplikačního serveru.
Zabezpečení dat trvalosti
Jestliže je instance služby trvalá, je příslušný stav systému uložen do úložiště trvalosti. Aplikace často shromažďují a přenášejí identifikovatelné osobní údaje nebo jiná důvěrná data. Jestliže je služba trvalá, jsou data po zahrnutí do stavu aplikace uložena do úložiště trvalosti. Jedno úložiště trvalosti může sdílet více serverů, webů a aplikací. Data trvalosti jsou záměrně agregována ze serverů a webů, které sdílejí úložiště, což umožňuje snáze spravovat stav aktivity až tisíců instancí služby v rozsáhlém prostředí. To umožňuje trvalost instance služby, pokud kritérium vyrovnávání zátěže vyžaduje, aby byla služba spuštěna na jednom serveru s technologií AppFabric a potom obnovena na jiném serveru.
Po uložení dat do úložiště trvalosti je mohou zobrazovat členové databázové role AS_Administrators a všichni členové rolí sysadmin a dbo systému SQL Server. U dat trvalosti může docházet k neúmyslnému nebo cílenému prozrazení, a proto je nutné toto riziko snížit správným prováděním správy oprávnění.
Data uložená v úložišti trvalosti můžete zabezpečit těmito způsoby:
Použijte různá úložiště trvalosti. Můžete vytvořit a nakonfigurovat alternativní úložiště trvalosti na stejném nebo jiném serveru pomocí rutin technologie AppFabric a vytvořené úložiště nakonfigurovat na stránce AppFabricKonfigurace databáze trvalosti. Poté můžete nakonfigurovat určité aplikace, aby používaly pouze toto úložiště. To poskytne určeným aplikacím soukromé úložiště dat trvalosti, do kterého nemají přístup žádné jiné aplikace.
Oddělte úložiště monitorování od úložiště trvalosti. Ve výchozím nastavení jsou během instalace vytvářeny v úložišti DefaultApplicationServerExtensions tabulky a entity pro úložiště trvalosti i úložiště monitorování. Je možné vyhradit jedno úložiště pouze pro trvalost a druhé pouze pro monitorování. Aplikace a uživatelé jsou tak v oboru správy i v oboru aplikace izolovány a nemají přístup k jednomu duálnímu úložišti a tedy ani ke všem tabulkám pro trvalost i monitorování.
Použijte skupiny systému Windows a role systému SQL Server. Přístup k úložišti trvalostí systému SQL Server je implementován prostřednictvím databázových rolí systému SQL Server. Během inicializace úložiště instancí může správce do rolí SQL Uživatelé úložiště instancí, Čtenáři úložiště instancí a Správci úložiště instancí vkládat skupiny systému Windows. Další informace o zabezpečení dat v úložištích trvalosti při použití skupin systému Windows a rolí systému SQL Server naleznete v tématu Konfigurace zabezpečení pro úložiště trvalosti.
Manipulujte s funkcemi trvalosti. Pomocí rozšíření přidaných do Správce služby IIS technologií AppFabric můžete povolovat a zakazovat funkce trvalosti pro určitou službu pracovních postupů, pro všechny služby pracovních postupů v aplikaci, pro všechny aplikace na webu nebo pro všechny weby na serveru. Můžete definovat zásady trvalosti na vyšší úrovni, aby všechny nižší úrovně v hierarchii služeb IIS a WAS dědily nastavení zásad.
Použijte různé identity fondu aplikací. Použitím různých identit pro fondy aplikací služby IIS můžete omezit nebo rozšířit oprávnění systému SQL Server pro celé úložiště trvalosti nebo pro jeho jednotlivé entity. Jedná se o propracovanou metodu zabezpečení prováděnou na úrovních služby IIS a systému SQL Server, která není nástroji technologie AppFabric přímo podporována.
Zabezpečení hostování
Izolace procesu slouží k oddělení služeb technologie AppFabric s vysokým oprávněním na úrovni správy, jako je například Služba Shromažďování událostí a Správa pracovního postupu, od pracovních procesů aplikace s nízkým oprávněním na úrovni aplikace. Služby technologie AppFabric jsou spuštěny v rámci oboru správy a mají úplný přístup k příslušným úložištím monitorování a trvalosti. Všechny pracovní procesy a uživatelé aplikací jsou spuštěni v oboru aplikací, obvykle v kontextu identity fondu aplikací.
Další izolace hostování v oboru aplikace umožňuje ještě podrobnější zabezpečení. Aplikace obsahuje jednu či více služeb rozhraní .NET Framework, které jsou všechny spuštěny ve stejném procesu. Chcete-li tyto služby rozhraní .NET Framework vzájemně zabezpečit před ostatními, mohou být spouštěny v kontextu různých domén aplikace. Proces rozhraní .NET Framework obsahuje jednu či více domén aplikace rozhraní .NET Framework a každá z nich představuje izolované prostředí pro spouštění aplikací. V rámci fondu aplikací služby IIS lze spustit jednu či více aplikací souběžně, pokud jsou nakonfigurovány pro sdílení fondu aplikací. Domény aplikace tak představují nenáročný způsob vynucení izolace spouštění bez nutnosti vytvářet navíc další proces se všemi prostředky.
Pokud potřebujete řešení poskytování hostitelských služeb s větší mírou izolace, nakonfigurujte každou aplikaci tak, aby byla spouštěna ve vlastním fondu aplikací s vlastní identitou. Tímto způsobem můžete aplikacím dávat různé identity při přístupu k úložišti trvalosti. Služba IIS umístí během spuštění všechny tyto identity do skupiny zabezpečení systému Windows IIS_IUSRS. Spuštění v samostatném procesu je z hlediska zabezpečení téměř shodné se spuštěním v samostatné doméně aplikace, ve které nemá ke kódu nebo datům dané aplikace přístup žádná jiná aplikace. Uvědomte si, že další procesy jsou v režii dalších prostředků operačního systému a přepnutí kontextu v procesoru, protože pro každý proces je vyhrazena určitá část procesoru.
2011-12-05