セキュリティ保護されたトポロジのデザイン チェックリストを確認する (Windows SharePoint Services)
この記事の内容 :
サーバー トポロジのデザイン チェックリスト
ネットワーク トポロジのデザイン チェックリスト
論理アーキテクチャのデザイン チェックリスト
オペレーティング システムのデザイン チェックリスト
Windows SharePoint Services 3.0 では、サーバーの正常な強化は、対象の分離およびセキュリティ保護された通信のために設計されている、サーバー トポロジおよび論理アーキテクチャによって決まります。
上記の計画に関する記事で、トポロジおよび論理アーキテクチャについて詳しく説明しています。ここでは、計画がセキュリティ保護されたデザインの条件を満たしていることを確認するのに使用できるチェックリストを示します。
以下のセキュリティ環境で、セキュリティ保護されたトポロジのデザインのチェックリストを使用してください。
内部 IT によるホスト
外部のセキュリティ保護されたグループ作業
外部の匿名アクセス
サーバー トポロジのデザイン チェックリスト
以下のチェックリストを確認して、計画がセキュリティ保護されたサーバー トポロジのデザインの条件を満たしていることを確認してください。
[ ] |
トポロジに、専用フロントエンド Web サーバーが組み込まれています。 |
[ ] |
Windows SharePoint Services の検索ロールおよびデータベース サーバー ロールをホストするサーバーは、ユーザーの直接アクセスから保護されています。 |
[ ] |
SharePoint サーバーの全体管理サイトは、Windows SharePoint Services の検索ロールをホストしているサーバーと同じサーバー上でホストされています。 |
ネットワーク トポロジのデザイン チェックリスト
以下のチェックリストを確認して、計画がセキュリティ保護されたネットワーキング トポロジのデザインの条件を満たしていることを確認してください。
[ ] |
ファーム内のすべてのサーバーが、単一のデータ センター内および同一の VLAN 上にあります。 |
[ ] |
アクセスは、単一ポイントのエントリ (ファイアウォール) を通じて許可されています。 |
[ ] |
より安全な環境では、フォームが 3 つの層 (フロントエンド Web、検索、およびデータベース) に分かれており、それらが各 vLAN 境界でルーターまたはファイアウォールにより分離されています。 |
論理アーキテクチャのデザイン チェックリスト
以下のチェックリストを確認して、計画がセキュリティ保護された論理アーキテクチャのデザインの条件を満たしていることを確認してください。
[ ] |
Web アプリケーションごとに少なくとも 1 つの領域が NTLM 認証を使用します。これが必要なのは、検索アカウントが Web アプリケーション内のコンテンツをクロールするためです。詳細については、「認証方法を計画する (Windows SharePoint Services)」を参照してください。 |
[ ] |
Web アプリケーションが、自動的に割り当てられるランダムに生成されたポート番号ではなく、ホスト名を使用して実装されています。Web アプリケーションがホスト ヘッダー ベースのサイト コレクションをホストする予定の場合は、インターネット インフォメーション サービス (IIS) のホスト ヘッダー バインドは使用しないでください。 |
[ ] |
以下の状況では、別の Web アプリケーションの使用を検討してください。
|
[ ] |
逆プロキシ環境では、外部に面するネットワークには既定ポートを使用し、内部ネットワークでは既定以外のポートを使用することを検討します。これは、HTTP には常にポート 80 が使用されると想定した単純なポート攻撃が内部ネットワークに対してなされるのを防ぐ助けとなります。 |
[ ] |
カスタム Web パーツを展開する場合、機密性の高いまたはセキュリティ保護されたコンテンツをホストする Web アプリケーション内で、信頼できる Web パーツのみが展開されます。これにより、ドメイン内のスクリプト攻撃から、機密性の高いコンテンツを保護します。 |
[ ] |
一元管理用と、独自の各 Web アプリケーション用に、それぞれ個別のアプリケーション プール アカウントを使用します。 |
オペレーティング システムのデザイン チェックリスト
以下のチェックリストを確認して、計画がセキュリティ保護されたオペレーティング システムのデザインの条件を満たしていることを確認してください。
[ ] |
サーバー オペレーティング システムは、NTFS ファイル システムを使用するように構成されています。 |
[ ] |
ファーム内のすべてのサーバーのクロックが同期しています。 |