Для обеспечения безопасности данных при установке портала on-site приложение должно быть развернуто в режиме web-фермы. Подробно пример настройки веб-фермы рассмотрен в статье “Настроить горизонтальное масштабирование”. Доступ к порталу настраивается по схеме (Рис. 1):
Демилитаризованная зона (DMZ)
-
В демилитаризованной зоне публикуется только обратный прокси-сервер (reverse proxy).
-
На уровне reverse proxy выполняется первичный мониторинг сетевой активности. Также здесь настраивается ограничение на доступ к конфигурационным web-сервисам приложения.
-
Авторизированные пользователи портала имеют доступ только к тем конфигурационным web-сервисам, к которым он явно разрешен на уровне приложения.
-
При разработке проектного решения выполняются настройки доступа для новых web-сервисов. Подробно эта настройка описана в документации по разработке, статья “Ограничение доступа к веб-сервисам для пользователей портала”.
Внутренняя сеть (Intranet)
-
Для обслуживания пользователей портала в веб-ферме выделяется отдельный набор узлов приложений, который не пересекается с узлами приложений для обслуживания внутренних пользователей.
-
Для работы приложения портала и приложения пользователей создаются отдельные учетные записи в базе данных с различным набором прав доступа.
-
В настройках приложений портала блокируется возможность входа для пользователей системы (отключаются AuthProviders, кроме пользователей портала). Это необходимо, чтобы из внешней сети (Extranet) можно было создать сессии только пользователям портала.
-
Дополнительно можно настроить использование внешних провайдеров идентификации для добавления второго шага проверки при авторизации.
-
Узлы приложений портала, СУБД и приложения для пользователей размещаются в отдельных сегментах с ограниченным доступом.