Consigli sulla sicurezza per una distribuzione di BizTalk Server
Questa sezione contiene consigli utili, non specifici per le caratteristiche, che consentono di proteggere l'ambiente Microsoft BizTalk Server.
Consigli a livello di topologia
Utilizzare la crittografia a livello di canale. Per impostazione predefinita, i flussi di dati di rete tra i vari componenti all'interno di BizTalk Server sono in testo non crittografato. Quando la sottrazione (sniffing) o la manomissione dei dati durante il passaggio dei messaggi da un computer a un altro diviene un problema, si consiglia di utilizzare la crittografia a livello di canale, come ad esempio il protocollo IPSec (Internet Protocol Security) o SSL (Secure Sockets Layer). Anche se in BizTalk Server la crittografia a livello di canale non viene configurata per impostazione predefinita, non vengono inviati dati critici come chiavi di crittografia e password via cavo in formato di testo non crittografato. Il database SSO gestisce le informazioni riservate memorizzandole in formato crittografato mediante il master secret (chiave di crittografia) fornito dal server master secret. Per impostazione predefinita, il database SSO riceve, archivia e invia le informazioni riservate in formato crittografato.
Per altre informazioni su SSL, vedere https://go.microsoft.com/fwlink/p/?LinkId=189708.
Per garantire protezione fisica dei server. È inoltre necessario prendere in considerazione la protezione fisica di server, periferiche, reti, i cavi, alimentazione e altri componenti. Si consiglia di collocare i computer in un ambiente sicuro e limitare l'accesso ai computer che contengono informazioni critiche per l'azienda, come ad esempio i database.
Installare soltanto i componenti che verranno utilizzati. Se si desidera installare IIS (Internet Information Services) nel proprio ambiente (sui computer nella rete perimetrale o sui computer che eseguono gli adapter HTTP e SOAP), non è necessario installare i componenti secondari di IIS FTP (File Transport Protocol), WebDAV e SMTP (Simple Mail Transfer Protocol). Analogamente, verificare che siano installate e configurare solamente le caratteristiche di BizTalk Server necessarie per il proprio ambiente. Ad esempio, configurare l'adapter di accodamento messaggi di BizTalk (MSMQT) solo se effettivamente utilizzato. In questo modo è possibile ridurre l'area di attacco potenziale nel proprio ambiente.
Se si usa Internet Explorer, è consigliabile attivare la sicurezza avanzata di Internet Explorer.
Installare Service Pack e aggiornamenti. È consigliabile installare sempre i Service Pack e gli aggiornamenti Microsoft più recenti in tutti i server che dispongono di risorse BizTalk Server, tra cui SQL Server.
Non salvare le password in testo non crittografato, script o file di binding. Si consiglia di salvare gli script in percorsi con avanzati elenchi di controllo di accesso discrezionali (DACL) in modo da consentire soltanto agli amministratori di BizTalk Server di visualizzare, modificare ed eseguire tali script. Se gli script e i file di binding richiedono delle password, mascherare le password quando gli script vengono utilizzati per la configurazione o per la distribuzione. Non lasciare le password in questi file in formato di testo non crittografato.
Utilizzare elenchi di controllo di accesso discrezionali (DACL) avanzati. Garantire l'accesso a una risorsa soltanto agli utenti e agli account che la utilizzano e garantirvi il numero minore di autorizzazioni possibile per eseguire le proprie attività. Collocare gli script di configurazione in percorsi con elenchi di controllo di accesso discrezionali (DACL) per gli amministratori di BizTalk Server e non inserire password in formato di testo non crittografato negli script. Verificare che le directory temporanee per tutti gli account di servizio BizTalk Server dispongano di elenchi di controllo di accesso discrezionali (DACL), in modo da garantirne l'accesso solo all'account di servizio specifico e agli amministratori di BizTalk.
In caso di adapter personalizzati, si consiglia di memorizzare i componenti di estensione degli adapter in un percorso con elenchi di controllo di accesso discrezionale (DACL) avanzati, in modo che soltanto gli amministratori di BizTalk Server possano accedere con autorizzazioni di scrittura a tali componenti.
Non collocare i server BizTalk nella rete perimetrale. Indipendentemente dalla dimensione dell'azienda, il posizionamento di BizTalk Server nella rete perimetrale espone i server ad attacchi diretti da Internet e da altri server nella rete perimetrale che potrebbe essere compromessa. Poiché BizTalk Server comunica con i database di Microsoft SQL Server nel dominio dei dati, un utente malintenzionato potrebbe utilizzare un computer BizTalk Server compromesso per manomettere i dati critici di elaborazione e configurazione aziendale.
Account e gruppi di BizTalk Server
Utilizzare account con autorizzazioni e diritti utente minimi. È necessario che tutti gli account del sistema BizTalk Server dispongano dei diritti utente minimi necessari per lo svolgimento delle attività. Ad esempio, si consiglia di non garantire diritti utente di amministratore agli account di servizio che vengono utilizzati nei server di elaborazione in BizTalk Server, SQL Server o Windows Server. Per altre informazioni sulle autorizzazioni di sicurezza minime e sui diritti utente necessari per eseguire un'attività in BizTalk Server, vedere Diritti utente di sicurezza minimi. Per altre informazioni sui gruppi e gli account usati da BizTalk Server, vedere Gruppi di Windows e account utente in BizTalk Server.
Utilizzare account differenti in base alle diverse funzioni. Per mantenere la sicurezza del proprio ambiente BizTalk Server, è opportuno creare account di servizio diversi per ciascuna delle istanze dell'host in esecuzione nell'ambiente. Inoltre, ciò consente l'allocazione per una migliore disponibilità durante gli aggiornamenti delle password. Si consiglia di fare in modo che un account di servizio non sia membro di più gruppi di Windows per BizTalk Server.
Si consiglia inoltre di utilizzare gruppi di Windows diversi per ciascun host BizTalk e di fare in modo che gli account di servizio che sono membri di un gruppo non siano membri del gruppo di Windows per un altro host. Ciò consente un isolamento di protezione avanzato per ciascun host BizTalk.
Si consiglia di creare un gruppo di Windows soltanto per l'host di rilevamento e di utilizzare un account di servizio nel gruppo per l'istanza dell'host di rilevamento. Non utilizzare tale account di servizio per altri servizi e non utilizzare un account amministratore di BizTalk per l'istanza dell'host di rilevamento.
Utilizzare host differenti in base alle diverse funzioni. È consigliabile creare un host esclusivamente per il rilevamento. Gli host configurati per "ospitare il rilevamento" dispongono di accesso in lettura e scrittura alle tabelle di rilevamento del database MessageBox, nonché alle tabelle del database di rilevamento. Pertanto, qualsiasi oggetto in esecuzione in un host che ospita il rilevamento dispone di autorizzazioni di accesso per la lettura e la scrittura in tali tabelle. Per bloccare l'accesso da elementi utente quali pipeline e orchestrazioni a dati di rilevamento che potrebbero contenere informazioni riservate, si consiglia di creare un host dedicato per il rilevamento in cui non vengano eseguite attività di elaborazione, invio o ricezione dei messaggi.
Si consiglia inoltre di utilizzare host diversi per l'elaborazione, la ricezione e l'invio di messaggi. È quindi possibile isolare gli account di servizio che richiedono accesso ai certificati privati dell'azienda. Minore è la quantità di codice che viene eseguito da tali account, minore è la probabilità di esporre gli account a vulnerabilità, riducendo conseguentemente il rischio di compromissione dei certificati riservati.
Modificare le password periodicamente. È necessario modificare la password per gli account di servizio periodicamente. Se si dispone di più account di servizio per le istanze dell'host, è necessario modificare la password di ciascuno degli account di servizio.
Attenzione
È necessario modificare le password dell'account di servizio per un'istanza dell'host nella Console di amministrazione BizTalk. La modifica della password dell'account di servizio per un'istanza dell'host nella console Gestione computer può causare problemi di configurazione.
Limitare l'appartenenza al gruppo Amministratori BizTalk. Gli amministratori di BizTalk Server dispongono dei diritti utente che variano nell'ambiente di BizTalk Server, tra cui l'accesso alla maggior parte dei dati, crittografati o meno. Di conseguenza, una configurazione non corretta risultante da un errore di un amministratore BizTalk può esporre il sistema a problemi di sicurezza critici. Il comportamento non corretto di un amministratore BizTalk potrebbe provocare un danno illimitato al sistema, compresa la totale compromissione della riservatezza, dell'integrità e della disponibilità dei dati degli utenti.
Nelle situazioni in cui gli sviluppatori distribuiscono direttamente le orchestrazioni ai computer nell'ambiente di produzione, è necessario che gli amministratori di dominio garantiscono agli sviluppatori diritti utente di amministratore BizTalk. Questa opzione non è consigliata per le ragioni esposte in precedenza.
Limitare l'appartenenza al gruppo Amministratori COM+. A causa di varie ragioni architetturali, l'amministratore COM+ dispone dei diritti utente come amministratore in diversi componenti di BizTalk Server. Per tutti gli scopi pratici, è necessario tenere in considerazione che un amministratore COM+ su un computer è anche un amministratore BizTalk ed è opportuno limitare l'appartenenza a tale gruppo nei server di produzione BizTalk.
Consentire agli utenti di accedere soltanto ai computer che eseguono i servizi per cui necessitano dell'accesso. Non tutti gli account necessitano di autorizzazioni per tutti i computer. Nella memoria delle istanze di host BizTalk sono contenute informazioni riservate. Potrebbe trattarsi di dati critici, come ad esempio password o informazioni aziendali. In questi computer, è necessario impostare un criterio per utenti locali molto ristretto. Ad esempio, garantire i diritti di accesso locali su tali computer solo agli utenti incaricati della gestione della distribuzione. Ciò consente di ridurre i rischi derivanti dall'accesso ai file di swapping e dagli arresti anomali.
Limitare le autorizzazioni del gruppo Power Users o rimuoverlo. Le autorizzazioni predefinite per il gruppo Power Users garantisce ai membri del gruppo i diritti utente per modificare le impostazioni del computer, compresi gli assembly BizTalk registrati nella cache di assembly globale (GAC). Ogni computer è dotato della cache di assembly globale (GAC), che contiene gli assembly condivisi da una o più applicazioni. Si consiglia di rimuovere l'autorizzazione per la modifica degli assembly dal gruppo Power Users o di eliminare tale gruppo dai server BizTalk di produzione.
Vedere anche
Controllo di accesso per i gruppi e gli account del servizioControllo di accesso per i ruoli amministrativi Pianificazione dei diritti utente di sicurezza minimaper la sicurezza