Sicherer Betrieb von SharePoint 2013
Publiziert: November 2014
Autoren: Robert Seso, Bertil Syamken
Informationssicherheit ist ein wesentlicher Faktor für alle IT-Organisationen auf der ganzen Welt. Der Zugriff auf Daten findet von immer mehr unterschiedlichen Geräten, Plattformen und Orten statt und stellt eine immer größere Herausforderung für die IT Sicherheit dar. Die meisten Angriffe mit Datenverlust als Folge passieren heute nicht mehr durch Schadsoftware, sondern als Folge des Benutzerfehlers - der Benutzer hat sich zum zentralen Element jedes Sicherheitskonzeptes entwickelt und dies muss bei der Entwicklung von Sicherheitsmaßnahmen besonderes berücksichtigt werden.
Diese Beitrag ist Teil einer Reihe von mehreren Blogbeiträgen zu diesem Thema:
Einleitung: Sicherer Betrieb von SharePoint 2013
Teil 1: Logische Absicherung
Teil 2: Physische Absicherung
Die Sicherheit in SharePoint Server 2013 ist ein permanenter Prozess und keine einmalige Aktion. Ein Sicherheitskonzept bestehend aus technischen und organisatorischen Maßnahmen und Prozessen sollte deswegen ständig überprüft, analysiert, getestet und weiterentwickelt werden.
Abbildung 1: Gestaffelte Sicherheitsebenen
Die einzelnen Ebenen in diesem Konzept ergänzen sich untereinander und stellen dadurch sicher, dass wenn eine Ebene durch einen Angriff kompromittiert wurde, die anderen Ebenen ihre Funktion übernehmen und den Zugriff zu den geschützten Daten verhindern können.
Das Hauptziel dieses Sicherheitskonzeptes ist externe und interne Angriffe und den daraus resultierenden Datenverlust von vorneherein zu verhindern. Um dieses Ziel zu erreichen, sollten die Sicherheitsmaßnahmen und Prozesse auf allen Ebenen dauerhaft überprüft, weiterentwickelt und verbessert werden.
Wichtig
Um die Sicherheit in einer SharePoint Umgebung zu erhalten sollten alle relevanten Maßnahmen und Prozesse ständig verbessert und weiterentwickelt werden.
Die Physikalische Ebene beschreibt alle technischen Maßnahmen zur Absicherung einer SharePoint Umgebung, wie:
- Absicherung des Rechenzentrums
- Netzwerkabsicherung und Überwachung
- Absicherung der Farm, Webanwendungen und Seiten
- Antivirenschutz
- Authentifizierung
- Verschlüsselung aller Kommunikationswege in der SharePoint Umgebung
- Verwendung von Rights Management Server
Die Logische Ebene beinhaltet alle Prozesse und Rollen die für den sicheren Betrieb einer SharePoint Umgebung notwendig sind, wie:
- Protokollierung aller Zugriffe, inklusive Zugriffe durch den Administrator
- Zeitlich beschränkte ("Just In Time") Vergabe von administrativen Berechtigungen
- Höchstmögliche Automatisierung
- Change Management
- Datenklassifizierung und Informationsarchitektur
- Regelmäßiges Testen
- Klar definierte Sicherheitsstrategie bei der Entwicklung von eigenen Anwendungen
- Kontrollmechanismen beim Einsatz von Drittherstellerlösungen
- Umgang mit dem Office Store und SharePoint Apps
- Ständige Überwachung aller technischen und operativen Parameter
- Schulung von Personal und Benutzer
- Klare Regeln beim Einsatz von mobilen Geräten im Unternehmen
- Geregelter Umgang mit persönlichen und sensiblen Daten, inklusive Kundendaten
- Umgang mit sozialen Funktionen im SharePoint
- Berechtigungskonzept für den Zugriff auf SharePoint Seiten
- Zugangsregeln für externe und/oder anonyme Benutzer
Der Schutz auf der Datenebene ist der Kern des Konzeptes und beinhaltet alle technischen Maßnahmen und Prozesse beim Umgang mit den SharePoint Datenbanken:
- Verschlüsselung aller Datenbanken
- Verwendung von BitLocker
- Zugriffskontrolle und Überwachung auf Datenbankebene
- Backup und Restore Strategie und Umgang mit Datensicherungen
- Rechtskonforme Langzeitarchivierung und Aufbewahrungsrichtlinien
- Mandantenfähigkeit
- Sicheres Löschen von Daten
Diese Punkte werden in den folgenden Blogbeiträgen detailliert beschrieben:
Teil 1: Logische Absicherung
Teil 2: Physische Absicherung