Рекомендации по настройке безопасного доступа к порталу
Для обеспечения безопасности данных при установке портала on-site приложение должно быть развернуто в режиме web-фермы. Подробно пример настройки веб-фермы рассмотрен в статье “Горизонтальное масштабирование с использованием HAProxy”. Доступ к порталу настраивается по схеме (Рис. 1):
•Демилитаризованная зона (DMZ)
•В демилитаризованной зоне публикуется только обратный прокси-сервер (reverse proxy).
•На уровне reverse proxy выполняется первичный мониторинг сетевой активности. Также здесь настраивается ограничение на доступ к конфигурационным web-сервисам приложения.
•Авторизированные пользователи портала имеют доступ только к тем конфигурационным web-сервисам, к которым он явно разрешен на уровне приложения.
•При разработке проектного решения выполняются настройки доступа для новых web-сервисов. Подробно эта настройка описана в документации по разработке, статья “Ограничение доступа к веб-сервисам для пользователей портала”.
•Внутренняя сеть (Intranet)
•Для обслуживания пользователей портала в веб-ферме выделяется отдельный набор узлов приложений, который не пересекается с узлами приложений для обслуживания внутренних пользователей.
•Для работы приложения портала и приложения пользователей создаются отдельные учетные записи в базе данных с различным набором прав доступа.
•В настройках приложений портала блокируется возможность входа для пользователей системы (отключаются AuthProviders, кроме пользователей портала). Это необходимо, чтобы из внешней сети (Extranet) можно было создать сессии только пользователям портала.
•Дополнительно можно настроить использование внешних провайдеров идентификации для добавления второго шага проверки при авторизации.
•Узлы приложений портала, СУБД и приложения для пользователей размещаются в отдельных сегментах с ограниченным доступом.
Смотрите далее