Planeación de una comunicación segura en una granja de servidores (Windows SharePoint Services)
En este artículo:
Planeación de comunicación entre servidores
Planeación de comunicación cliente-servidor
Planeación del uso de SSL
Use este artículo para planear la seguridad de las granjas de servidores. El artículo proporciona instrucciones acerca de la protección de la comunicación entre servidores y la comunicación cliente-servidor.
Las tareas del artículo son apropiadas para los siguientes entornos de seguridad:
Entorno hospedado de TI interno
Colaboración externa segura
Acceso anónimo externo
Planeación de comunicación entre servidores
Si los servidores no se encuentran en un centro de datos seguro, donde la amenaza de espiar en la red se considera insignificante, debe usar un canal de comunicaciones cifrado para proteger los datos enviados entre servidores.
En Windows SharePoint Services 3.0, la comunicación entre servidores dentro de una granja de servidores es extensiva. La protección de esta comunicación ayuda a evitar la pérdida de confidencialidad de la información confidencial y también ayuda a proteger los servidores de ataques malintencionados o involuntarios.
La siguiente ilustración muestra varias transacciones de comunicación habituales entre los servidores de una granja.
Entre las transacciones de comunicación habituales entre los servidores de una granja se incluyen las siguientes:
Cambios de configuración Los servidores cliente web se comunican con la base de datos de configuración para comunicar los cambios de configuración de la granja de servidores.
Solicitudes de cambio Las solicitudes de usuario para la adición, eliminación, modificación o visualización de contenido de un sitio se envían directamente a la base de datos de contenido.
Solicitudes de búsqueda los servidores cliente web se comunican primero con el servidor de búsqueda para generar los resultados de las consultas de búsqueda. A continuación, los servidores cliente web se comunican con la base de datos de contenido para satisfacer las solicitudes de usuario para documentos específicos en los resultados de búsqueda.
Indización El componente de indización se comunica a través de un servidor cliente web para rastrear el contenido de las bases de datos de contenido y generar un índice.
Nota
En un entorno Windows SharePoint Services 3.0, los componentes de búsqueda e indización comparten la misma función de servidor.
El protocolo de seguridad de Internet (IPsec) y la Capa de sockets seguros (SSL) se pueden usar para ayudar a proteger la comunicación entre servidores mediante el cifrado del tráfico. Cada uno de estos métodos funciona bien. La elección del método que se usará depende de los canales de comunicación específicos que se vayan a proteger y de las ventajas y compensaciones que resulten más adecuadas para su organización.
IPsec
Generalmente, IPsec se recomienda para proteger el canal de comunicación entre dos servidores y restringir los equipos que se pueden comunicar entre sí. Por ejemplo, puede ayudar a proteger un servidor de base de datos si establece una directiva que permita solicitudes provenientes sólo de un equipo cliente de confianza como, por ejemplo, un servidor de aplicaciones o un servidor web. También puede restringir la comunicación a protocolos IP y puertos TCP o UDP específicos.
Los requisitos y recomendaciones de redes de una granja de servidores hacen que IPsec sea una buena opción por los siguientes motivos:
Todos los servidores se incluyen en una LAN física (para mejorar el rendimiento de IPsec).
Se asignan direcciones IP estáticas a los servidores.
IPsec también se puede usar entre dominios de confianza de Windows Server 2003 o Windows 2000 Server. Por ejemplo, puede usar IPsec para proteger la comunicación de un servidor web o un servidor de aplicaciones de una red perimetral que se conecte a un equipo en el que se ejecuta Microsoft SQL Server ubicado en una red interna. Para obtener más información, vea la sección acerca de la selección de métodos de autenticación IPsec (en inglés) (https://go.microsoft.com/fwlink/?linkid=76093&clcid=0xC0A) (en inglés) en la guía de implementación de Windows Server 2003 (en inglés) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0xC0A) (en inglés).
Para obtener más información acerca de los entornos recomendados para IPsec, vea la sección acerca de la determinación de las necesidades de IPsec (en inglés) (https://go.microsoft.com/fwlink/?linkid=76094&clcid=0xC0A) (en inglés) en la guía de implementación de Windows Server 2003 (en inglés) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0xC0A) (en inglés).
SSL
Las recomendaciones generales para el uso de SSL es usar este método de cifrado cuando necesite una protección de canales granular para una aplicación concreta en lugar de para todas las aplicaciones y los servicios que se ejecuten en un equipo. La implementación de SSL debe realizarse por aplicaciones individuales. Por tanto, no puede usar SSL para cifrar todas las comunicaciones entre dos hosts.
Además, SSL es menos flexible que IPsec porque sólo admite la autenticación mediante certificados de clave pública. No obstante, SSL presenta varias ventajas distintivas. Las más significativas son que SSL es compatible con una amplia gama de servidores y equipos cliente y que la madurez del estándar prácticamente ha eliminado los problemas de interoperabilidad.
Escenarios a tener en cuenta para SSL
Hay varios escenarios que hacen que SSL sea una buena opción, incluidos los siguientes:
Sitios de administración El sitio de Administración central y los sitios de Administración de servicios compartidos se pueden proteger con SSL.
Distribución de contenido En el proceso de distribución de contenido, se copian archivos de un directorio de sitios ubicado en un servidor de una granja de servidores de creación o almacenamiento provisional en un directorio de sitios coincidente ubicado en uno o más servidores de una granja de servidores de publicación. En este escenario, es posible que IPsec no resulte práctico si las granjas de servidores se encuentran en distintas zonas de red o si hay un gran volumen de contenido por distribuir o una gran cantidad de servidores a los que distribuir el contenido. SSL se puede usar para dirigir la comunicación segura a estas transacciones de comunicación específicas.
Proveedores de servicios compartidos (SSP) dentro de las granjas de servidores Si las granjas de servidores secundarias consumen servicios compartidos de una granja de servidores primaria, se comparte información confidencial entre las granjas de servidores.
Planeación de comunicación cliente-servidor
Es posible que no resulte práctico proteger todas las comunicaciones cliente-servidor. No obstante, hay varios escenarios que justifican la configuración adicional necesaria para proteger la comunicación entre equipos cliente y servidores de la granja de servidores:
Colaboración segura con asociados Los asociados tienen acceso y realizan contribuciones a las aplicaciones en un entorno de extranet.
Acceso remoto de los empleados Los empleados tienen acceso a los datos internos de forma remota.
Acceso o suministro de información confidencial por parte de los clientes Los clientes inician sesión y proporcionan información confidencial u obtienen acceso a ella. Por ejemplo, es posible que los clientes deban iniciar sesión en un sitio de noticias de Internet o proporcionar información personal para completar una transacción comercial.
Autenticación básica o de formularios Si usa cualquiera de estos dos métodos de autenticación, las credenciales se envían sin cifrar. Como mínimo, debe proteger la comunicación cliente-servidor para la página de inicio de sesión.
Generalmente, SSL se recomienda para proteger las comunicaciones entre usuarios y servidores cuando se debe proteger información confidencial. SSL se puede configurar para requerir la autenticación del servidor o la autenticación tanto del servidor como del cliente.
Planeación del uso de SSL
SSL puede reducir el rendimiento de la red. Hay varias instrucciones comunes que puede usar para optimizar las páginas que usan SSL. En primer lugar, use SSL sólo para las páginas que lo requieran. Esto incluye páginas que contienen o capturan información confidencial, como contraseñas u otros datos personales. Use SSL sólo si se cumplen las siguientes condiciones:
Desea cifrar los datos de las páginas.
Desea garantizar que el servidor al que envía los datos es el servidor que esperaba.
Para las páginas en las que deba usar SSL, siga estas instrucciones:
Haga que el tamaño de las páginas sea el mínimo posible.
Evite el uso de gráficos con tamaños de archivo grandes. Si usa gráficos, su tamaño de archivo debe ser pequeño y la resolución baja.
Descarga de este libro
Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.