Partilhar via

Segurança de dados de emparelhamento do pool Front End no Lync Server 2013

  • Artigo

 

Tópico Última Modificação: 07-10-2014

O Serviço de Backup é um mecanismo de replicação de dados introduzido no Lync Server 2013 que transfere dados do usuário e conteúdo de conferência entre dois pools de Front-Ends emparelhados continuamente entre dois data centers para fins de recuperação de desastre. Os dados do usuário contêm URIs SIP do usuário, bem como listas de contatos e configurações. O conteúdo da conferência inclui Microsoft PowerPoint 2010 carregamentos, bem como quadros de comunicações usados em conferências. Do pool de origem, os dados do usuário e o conteúdo da conferência são exportados do armazenamento local, compactados, transferidos para o Pool de destino, onde são descompactados e importados para o armazenamento local. O Serviço de Backup pressupõe que o link de comunicações entre os dois data centers está dentro da rede corporativa que está protegida a partir da Internet. Ele não criptografa os dados transferidos entre os dois data centers, nem é encapsulado nativamente em um protocolo seguro, como HTTPS. Portanto, é possível um ataque man-in-the-middle de pessoal interno dentro da rede corporativa.

Avaliando riscos de segurança

Qualquer empresa que implanta o Lync Server 2013 em vários data centers e usa o recurso de recuperação de desastre deve garantir que o tráfego entre data centers seja protegido por sua Intranet corporativa. As empresas que se preocupam com a proteção contra ataques internos devem proteger os links de comunicação entre os data centers.

A suposição de que os data centers de uma empresa estão protegidos por trás da Intranet corporativa é padrão. Há muitos outros tipos de dados confidenciais corporativos transferidos entre esses data centers. A infraestrutura de TI da empresa estará em risco se esses links entre data center não forem protegidos.

Embora exista o risco de ataques de "intrusos" na rede corporativa, ele é relativamente limitado em comparação a expor o tráfego à Internet. Especificamente, os dados do usuário expostos pelo Serviço de Backup (como URIs SIP) geralmente estão disponíveis para todos os funcionários da empresa por meio de outros meios, como o Catálogo de Endereços Global do Exchange ou outro software de diretório. Portanto, o foco deve ser proteger a WAN entre os dois data centers quando o Serviço de Backup for usado para copiar dados entre os dois pools emparelhados.

Mitigando riscos de segurança

Há muitas maneiras de aprimorar a proteção de segurança para o tráfego do Serviço de Backup, desde restringir o acesso aos data centers até proteger o transporte wan entre os dois data centers. Na maioria dos casos, as empresas que implantam o Lync Server 2013 podem já ter a infraestrutura de segurança necessária em vigor. Para empresas que procuram diretrizes, a Microsoft fornece a solução como um exemplo de como criar uma infraestrutura de TI segura. No entanto, isso não significa que ela é a única solução, nem implica que ela é a solução preferencial para o Lync Server. Recomendamos que os clientes corporativos escolham a solução de acordo com suas necessidades específicas, com base em sua infraestrutura e requisitos de segurança de TI. O exemplo de solução da Microsoft emprega IPSec e Política de Grupo para isolamento de servidor e domínio. Para obter detalhes, consulte https://go.microsoft.com/fwlink/p/?LinkId=268544. Para perguntas e comentários, entre em contato secwish@microsoft.com.

Outra solução possível é usar o IPSec apenas para ajudar a proteger os dados enviados pelo próprio Serviço de Backup. Se você escolher este método, deverá configurar as regras do IPSec para o protocolo SMB nos seguintes servidores, onde Pool A e Pool B são dois Pools de Front-Ends emparelhados.

  • O Serviço SMB (TCP/445) de cada Servidor Front-End no Pool A para o Repositório de Arquivos usado pelo Pool B.

  • O Serviço SMB (TCP/445) de cada Servidor Front-End no Pool B para o Repositório de Arquivos usado pelo Pool A.

Aviso

O IPsec não deve ser usado para substituir a segurança no nível de aplicativo, como SSL/TLS. Uma vantagem de usar o IPsec é que ele pode fornecer segurança ao tráfego da rede para os aplicativos existentes sem ter de alterá-los. As empresas que desejam proteger o transporte entre os dois data centers devem consultar seus respectivos fornecedores de hardware de rede em relação à maneira de configurar conexões WAN seguras usando o equipamento do fornecedor.