セキュリティ保護アーキテクチャの設計

BizTalk Serverデプロイのシステム アーキテクチャの詳細については、「サンプル BizTalk Server アーキテクチャ」を参照してください。

トピック「 大規模分散アーキテクチャ 」に記載されているアーキテクチャは、BizTalk 環境が脆弱な潜在的なセキュリティ上の脅威の多くに対処します。 ただし、ビジネス資産、ビジネスにとって問題である脅威、および資産の保護や脅威が起きた場合の緩和に使用できるリソースを評価し、最適なアーキテクチャを決定する必要があります。 このセクションでは、BizTalk Server アーキテクチャを設計するときに考慮できる追加のセキュリティ オプションについて説明します。

ファイアウォール

物理的な (ハードウェア) ファイアウォールまたはソフトウェア ファイアウォールを使用して、環境内のリソースへのアクセスを制限できます。 「大規模分散アーキテクチャでは Forefront Threat Management Gateway (TMG) 2010 サーバーを使用しますが、異なるBizTalk Server コンポーネント間の通信に必要なポートを開いて構成する限り、ハードウェアまたはサードパーティのソフトウェア ファイアウォールを使用して同様のアーキテクチャを作成できます。 使用BizTalk Serverポートの詳細については、「BizTalk Serverに必要なポート」を参照してください。

Active Directory

サンプルの展開では、Active Directory® ディレクトリ サービスを使用して、各サーバー グループの周囲に強力なセキュリティの境界を作成します。 一方向の信頼により、データ ドメインで作成したアカウントで BizTalk Server アプリケーションを実行する場合、処理サーバーで実行している BizTalk Server 以外のアプリケーションの不具合による攻撃から BizTalk Server 環境をさらに保護できます。 データ ドメインはその他のドメインのアカウントを信頼しないため、別のドメインのアカウントが危険にさらされても、BizTalk Server 環境は脅かされないように保護されています。

IPSec および SSL

使用する環境で、ファイアウォールによって提供されるセキュリティ レベルを必要とする重大な脅威が発生していなくても、データ ドメイン、処理ドメイン、サービス ドメインに接続するネットワーク セグメントがさまざまなネットワーク上の攻撃 (パケット スニッフィングや改ざんなど) から物理的に保護されていない場合は、データをあるサーバーから別のサーバーに移動するときに保護する必要があります。 この場合、インターネット プロトコル セキュリティ (IPsec) または Secure Sockets Layer (SSL) を使用して、あるサーバーから別のサーバーへのトラフィックを暗号化できます。

参照

分散アーキテクチャの設計
セキュリティの計画
BizTalk Server のシステム アーキテクチャの設計
BizTalk Server のサンプル アーキテクチャ