外部の匿名アクセス環境のセキュリティを計画する (Windows SharePoint Services)
この記事の内容 :
バックエンド サーバーを保護する
匿名アクセスを構成する
サーバーの全体管理サイトをセキュリティ保護する
電子メールの受信を無効にする
セキュリティ保護された設計のチェックリスト
サーバー ロールのセキュリティ強化を計画する
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
外部の匿名アクセス環境に関するセキュリティ ガイダンスは、フロントエンド Web サーバーを介したユーザーの直接アクセスや悪意のある操作からファーム内のバックエンド サーバーを保護しつつ、コンテンツへの匿名アクセスを許可することに焦点を当てています。複数のファームが展開されて、作成、ステージング、および発行をサポートする環境のためのガイダンスは、公開されたファーム (ユーザーが匿名でアクセスできるファーム) を対象にしています。
外部の匿名アクセス環境には、固有の推奨事項がいくつかあります。これらの推奨事項の中には、すべてのソリューションに有効ではないものもあります。
バックエンド サーバーを保護する
匿名用サイトをホストするには、インターネット用のサーバーが必要です。アプリケーション サーバー (検索)、データベースをホストするサーバーなどのバックエンド サーバーを保護することで、インターネットからのトラフィックの公開を制限できます。
データベース サーバーの保護 最低でも、フロントエンド Web サーバーとデータベースをホストするサーバー間にファイアウォールを配置します。環境によっては、データベース サーバーをエクストラネット環境で直接ホストせず、内部ネットワークでホストすることが決められています。
インデックスの役割の保護 インデックス コンポーネントはフロントエンド Web サーバーを介して通信し、サイト内のコンテンツをクロールします。この通信チャネルを保護するには、1 つ以上のインデックス サーバーを使用する専用のフロントエンド Web サーバーを構成することを検討してください。これで、ユーザーがアクセスできないフロントエンド Web サーバーからクロールの通信を分離します。さらに、インターネット インフォメーション サービス (IIS) を構成して、インデックス サーバー (または他のクローラ) だけがアクセスできるように SiteData.asmx (クローラ SOAP サービス) を制限します。コンテンツ クロール専用のフロントエンド Web サーバーを提供することには、メインのフロントエンド Web サーバーの負荷が軽減されてパフォーマンスが向上し、その結果ユーザーの操作性が向上するという利点もあります。
匿名アクセスを構成する
コンテンツへの匿名アクセスを可能にするには、以下のように構成する必要があります。
サイトまたはサイト コレクションは、匿名アクセスを許可するように構成します。
少なくとも Web アプリケーションの 1 つのゾーンで匿名アクセスを許可するように構成します。
認証されていないアクセスを要求する Web アプリケーションに対してのみ匿名アクセスを有効にします。個人設定用に認証を使用する場合は、簡単なデータベース認証プロバイダを使用することで、フォーム認証を実装します。
サーバーの全体管理サイトをセキュリティ保護する
ネットワーク領域に社外ユーザーがアクセスできるため、サーバーの全体管理サイトを保護して外部アクセスをブロックし、内部アクセスを保護することが重要です。
サーバーの全体管理サイトがフロントエンド Web サーバーでホストされていないことを確認してください。
サーバーの全体管理サイトへの外部アクセスをブロックします。これは、フロントエンド Web サーバーとサーバーの全体管理サイトをホストするサーバーとの間に、ファイアウォールを配置することによって実現できます。
SSL (Secure Sockets Layer) を使用することで、サーバーの全体管理サイトを構成します。これにより、内部ネットワークからサーバーの全体管理サイトへの通信がセキュリティ保護されます。
電子メールの受信を無効にする
受信する電子メールに電子メール統合を使用しないでください。これにより、インターネット上の匿名ソースから送信された電子メールに関連するリスクから環境が保護されます。電子メールの受信を許可する場合は、匿名電子メールを有効にするようにサーバーの全体管理サイトを構成します。このオプションが利用できる間は、あまり安全ではありません。
セキュリティ保護された設計のチェックリスト
この設計チェックリストは、「セキュリティ保護されたトポロジのデザイン チェックリストを確認する (Windows SharePoint Services)」のチェックリストと共に使用してください。
トポロジ
[ ] |
フロントエンド Web サーバーとアプリケーション サーバーやデータベース サーバーとの間に少なくとも 1 台のファイアウォールを置いて、バックエンド サーバーを保護します。 |
[ ] |
コンテンツのクロールには、専用のフロントエンド Web サーバーを計画します。このフロントエンド Web サーバーは、エンド ユーザーのフロントエンド Web ローテーションに含めないでください。 |
論理アーキテクチャ
[ ] |
匿名アクセスを許可するように構成されたサイトまたはサイト コレクションをホストする Web アプリケーション ゾーンに限って匿名アクセスを有効にします。 詳細については、「認証方法を計画する (Windows SharePoint Services)」を参照してください。 |
[ ] |
SSL を使用してコンテンツの展開をセキュリティ保護します。 |
[ ] |
サーバーの全体管理サイトへのアクセスを禁止して、サイトに SSL を構成します。 |
サーバー ロールのセキュリティ強化を計画する
以下の表は、外部の匿名アクセス環境に関する追加の推奨事項を示しています。
| コンポーネント | 推奨事項 |
|---|---|
ポート |
サーバーの全体管理サイトのポートへの外部アクセスをブロックします。 |
プロトコル |
SMTP を無効にします。 |
IIS |
インデックス作成専用のフロントエンド Web サーバーを構成している場合、IIS を構成して、インデックス サーバー (または他のクローラ) だけが SiteData.asmx (クローラ SOAP サービス) にアクセスできるように SiteData.asmx を制限します。 |
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
この環境に推奨される追加のガイダンスはありません。
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。