В настоящее время мы работаем внутри компании MOSS 2007 и работаем в ней около 12 месяцев без каких-либо серьезных проблем.
Теперь от руководства поступил запрос на предоставление доступа из Интернета для небольших групп (изначально), которые состоят из членов других общественных организаций, таких как наша. Комитеты и тому подобное.
Моя первая реакция не была радостью, когда мне представили этот запрос, однако я хотел бы убедиться, что опасения оправданы.
Я прочитал несколько документов в TechNet об усилении безопасности в отношении SharePoint, но мне интересно узнать, что сделали другие.
Я разговаривал с другой организацией, которая уже реализовала нечто подобное, и они, по сути, перенаправили порты из Интернета на свой внутренний производственный сервер MOSS. Мне не очень нравится, как это звучит. Рекомендуется / необходимо ли запускать конфигурацию типа DMZ с отдельным веб-интерфейсом в изолированном сегменте сети? Предлагает ли это мне даже большую безопасность, чем их установка? Некоторые конфигурации из Документ TechNet на самом деле это невозможно, учитывая наш текущий сетевой бюджет. Я уже сообщил о своих опасениях руководству, но, похоже, в той или иной форме они будут реализованы.
У меня возникает соблазн запустить полностью изолированную, отдельную установку только для этих типов пользователей.
Стоит ли мне вообще об этом беспокоиться?
На этом этапе приветствуются любые мысли, комментарии.
Предполагая, что эти организации имеют статические IP-адреса, вы можете ужесточить правила переадресации портов, чтобы разрешить доступ в экстранет только с этих IP-адресов. Я не уверен, хорошо ли работает Sharepoint в роли DMZ, поскольку для интеграции серверной части с Active Directory вам потребуется сделать несколько дыр в локальной сети, чтобы она работала. Возможно, кто-то с большим количеством Sharepoint в настройке DMZ сможет вмешаться.
РЕДАКТИРОВАТЬ
Покопался и нашел инструмент планирования экстрасети Microsoft (с красивой / ясной диаграммой Visio), который, надеюсь, решит ваши проблемы и даст вам представление о том, что вы можете / должны делать: http://technet.microsoft.com/en-us/library/cc262834.aspx
Вы могли бы создать Сервер UAG и предоставьте им ограниченные учетные записи AD и заблокируйте свой сайт SharePoint.
Если память не изменяет, сервер IAS в вашей демилитаризованной зоне не даст вам проделать дополнительные дыры для аутентификации.
Ваше беспокойство оправдано, и если это первая попытка организации предоставить доступ к внутренним системам в Интернете, они, скорее всего, не готовы к дополнительной сложности ... но это не зависит от того, насколько далеко вас дадут технические ноу-хау ...