שלך MOSS מה אתה עשית בשביל לשמור על ה
יותר ויותר ארגונים משקיעים כספים בנושא Collaboration. תפיסה זו, מאפשרת לעובדים בארגון להחליף ולשתף מידע כמו מסמכים, גיליונות אלקטרוניים ומצגות. עוד מאפשרת הטכנולוגיה לחלוק יומנים ומשאבים משותפים. בין הפלטפורמות המובילות נמצאת כמובן, פלטפורמת Microsoft Office SharePoint Server (MOSS) 2007 , מבית מיקרוסופט. פלטפורמה זו, מציגה מגוון רחב של יכולות וחידושים, לרבות בנושאי אבטחה. ואולם, אף שלא מעט ארגונים משקיעים משאבים בהטמעת הפיתרון, רבים מהם מתעלמים כמעט לגמרי, משיקולי האבטחה, הכרוכים בהטמעת פיתרון שכזה.
במקרים רבים נשמר מידע רגיש באתרי Collaboration. למשל: מסמכי כספים הנמצאים באתר הכספים ו/או נתוני כ"א במאגר משאבי האנוש. דוגמאות נוספות יכולות להיות קבצי מידע רגיש כגון: פרטי כרטיסי אשראי, תוכניות עסקיות, שותפים ועוד. עקב רגישות זו, אנשי האבטחה בארגונים אלו, מוצאים עצמם מתמודדים עם אתגרים חדשים המביאה עימה טכנולוגיית שיתוף זו. טכנולוגיית Microsoft Office SharePoint מציגה מגוון יכולות בכדי להתמודד עם אתגרים אלו ולאבטח את אתרי השיתוף.
גישה מקובלת להתמודדות זו מבוססת על משולש ה CIA. לא מדובר בארגון הביון האמריקאי (Central Intelligence Agency) אלא במשולש האבטחה המקיף Confidentiality, Integrity and Availability או בעברית: סודיות שלמות ונגישות הנתונים. בבואנו לדון באבטחת מידע - עלינו לענות על שלוש דיסציפלינות אלו.
יש להדגיש כבר בנקודה זו שהמוצר עצמו מגיע out of the box עם סט מרשים של יכולות אבטחה. למשל, שלוש שכבות ניהול (מנהלי החווה, מנהלי שירותים משותפים ומנהלי מקבצי אתרים). כמו כן, בתחום ההזדהות תומך MOSS בכל שיטות ההזדהות הנפוצות ואף בכל ה- providers השונים להזדהות FBA. בנושא אבטחת אתרים ב MOSS הפלטפורמה מגיעה עם 10 קבוצות תפקידים (permission groups) שונות ועם 8 קבוצות הרשאות (permission levels) שונות. כמובן שיש עוד מספר לא מבוטל של יכולות אבטחה המגיעות out of the box בטכנולגיה, אולם בכדי להבטיח הטמעה נכונה של מערכת מורכבת שכזו, יש להתייחס לכל היכולות הללו ולהגדירם כראוי ובהתאם לפתרון ולארכיטקטורה הספציפית.
אי התייחסות לאיומים אלו ולעוד רבים אחרים ו/או תכנון לקוי של יכולות האבטחה של MOSS עשוי לחשוף את הטכנולוגיה על כל יתרונותיה לסיכונים רבים ולהפוך את יתרונה הגדול של הטכנולוגיה (שיתוף) לנקודת עקב אכילס שלה. חלק מאותם סיכונים הינם:
1. גישה לא מורשית למידע עקב
- מתן הרשאות לא מתאימות
- מנגנון הזדהות חסר או לקוי
- גישה לא מבוקרת
2. התפשרות בהגנה על מידע רגיש.
בנוסף על כל אלו, כרכיב שיתופי בין גורמים רבים ומגוונים (עובדי החברה, שותפים לקוחות) משפחת מוצרי SharePoint מגבירה את האינטראקציה בין אנשים ובין מחשבים ולפיכך יכולה להפוך למקור משיכה והפצה לוירוסים, "תולעים" ושאר Malware למיניהם.
מיקרוסופט מגדירה רשימת נושאי אבטחה שיש לתכנן בעת פריסת פיתרון MOSS ואלו הם:
אבטחת בחוות השרתים (Server Farms) - פריסת ארכיטקטורה נכונה של השרתים. מיקום שרתי ה FE, ה- indexing וה DB באתרי לקוחות בניגוד לאותם שיקולים באתרים לשותפים. כיצד מגנים על כל אחד מהשרתים והשירותים ששרת זה מספק.
חשבונות משתמשים (Accounts) קבוצות (Groups) ותפקידים (Roles) - שימוש בקבוצות AD ובקבוצות המוגדרות ב- MOSS ומתן הרשאות לאותן קבוצות.
הזדהות - תכנון מערך ההזדהות של האתרים השונים בהתאם לסוג האתר ולמיקום ממנו מגיע המשתמש. למשל אתרים לשותפים עסקיים, אתרים פנים ארגוניים שהגישה אליהם מבחוץ, ואתרים הפתוחים לכל דורש.
הרשאות - התייחסות מתאימה לנושא ההרשאות על כל מרכיביה: הרשאות אדמיניסטרטורים על התחנות, הרשאות למנהלי האתרים, הרשאות למשתמשים השונים באתר מסוים ועוד.
הגנה מפני תכנים זדוניים - מערכות אנטי וירוס
הגנה על המידע מפני זליגה - מערכות Information Data Leakage Prevention
הפצה/פרסום של אתרי SharePoint לאינטרנט ולאקסטראנט - באמצעות טכנולוגיות IAG/ISA ניתן להגן על אתרי SharePoint שנגישותם פתוחה לכל, ולפיכך מרחב התקיפה גדול על אף שהאתרים עצמם משמשים קבוצת אוכולוסיה מצומצמת, למשל אתרים הנגישים דרך האינטרנט אך מורשי הכניסה הם עובדי החברה ו/או שותפים עסקיים. במוסף, ניתן להשתמש במוצרים אלו על מנת להגן גם על אתרים שנגישותם היא פתוחה לקהל הרחב, במקרה זה יהוו כשער כניסה והגנה מפני תקיפות על מוצר ה SharePoint.
להלן מספר מקורות
http://technet.microsoft.com/en-us/library/cc262331.aspx
http://www.sharepointsecurity.com/
http://technet.microsoft.com/en-us/library/cc512661.aspx
http://technet.microsoft.com/en-us/library/cc263215.aspx
פיתוח מאובטח מעל MOSS
http://www.microsoft.com/technet/community/columns/secmvp/sv0408.mspx
גלעד רגב
יועץ אבטחת מידע