Condividi tramite

Progettazione di un'architettura sicura

  • Articolo

Per informazioni complete sull'architettura di sistema per la distribuzione di BizTalk Server, vedere Esempi di architetture BizTalk Server.

L'architettura presentata nell'argomento Architettura distribuita di grandi dimensioni risolve molte delle potenziali minacce alla sicurezza a cui un ambiente BizTalk è vulnerabile. Per determinare quale sia l'architettura ottimale, tuttavia, è necessario valutare i beni aziendali, le minacce che rappresentano un problema per l'azienda, nonché le risorse a disposizione per proteggere i beni e attenuare i possibili rischi. In questa sezione vengono fornite opzioni di sicurezza aggiuntive che è possibile prendere in considerazione durante la progettazione dell'architettura di BizTalk Server.

Firewall

È possibile utilizzare firewall fisici (hardware) o software per limitare l'accesso alle risorse nell'ambiente in uso. Mentre l'argomento Architettura distribuita di grandi dimensioni usa il server Forefront Threat Management Gateway (TMG) 2010, è possibile creare un'architettura simile usando firewall hardware o software di terze parti, purché si aprono e configurino le porte necessarie per la comunicazione tra i diversi componenti BizTalk Server. Per altre informazioni sulle porte BizTalk Server usi, vedere Porte necessarie per BizTalk Server.

Active Directory

Nella distribuzione di esempio viene utilizzato il servizio di directory Active Directory® per creare un limite di sicurezza attorno a ogni gruppo di server. Con i trust unidirezionali è possibile proteggere ulteriormente l'ambiente BizTalk Server dagli attacchi causati da difetti in altre applicazioni non BizTalk Server in esecuzione sui server di elaborazione, in quanto le applicazioni BizTalk Server vengono eseguite con account creati nel dominio dei dati. Dato che il dominio dei dati non considera attendibili gli account di altri domini, la compromissione di un account in un altro dominio non determina la compromissione dell'ambiente BizTalk Server.

IPSec e SSL

Se l'ambiente non presenta minacce critiche che richiedono il livello di sicurezza fornito dai firewall, ma i segmenti di rete che collegano i domini dei dati, di elaborazione e dei servizi non sono fisicamente protetti da vari attacchi di rete, ad esempio la sottrazione o la manomissione di pacchetti, è comunque necessario proteggere i dati nel tragitto da un server a un altro. In questo caso, è possibile utilizzare Internet Protocol security (IPSec) o Secure Sockets Layer (SSL) per crittografare il traffico da un server a un altro.

Vedere anche

Progettazione di un'architettura distribuita
Pianificazione della sicurezza
Progettazione di architetture di sistema per BizTalk Server
Architetture BizTalk Server di esempio