Sitios blindados de SharePoint

200 visualizaciones

Publicado el

Mecanismo de control de acceso a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
200
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

  • Versión de portada para Documentos Técnicos. Si utilizas esta, elimina las otras tres.

  • Cierra con la página de de Contacto del mismo color del último bloque que has creado. Borra las otras dos.
  • Sitios blindados de SharePoint

    1. 1. Sitios blindados en SharePoint Una solución para incrementar la seguridad de acceso a aplicaciones web de SharePoint
    2. 2. Modelo de funcionamiento 01
    3. 3. Disponer en nuestras granjas de SharePoint 2013 de un mecanismo de control de acceso más robusto (basado en two factor authentication; un estándar publico) a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados. Llamamos a este componente ENCSEC Objetivo de los sitios blindados
    4. 4. Proceso de autenticación y acceso User Pwd Token 1, 7 2 3 4 5 6
    5. 5. 1. El usuario trata de acceder a una aplicación web de SharePoint protegida 2. El sistema de autenticación redirige la validación al componente ENCSEC 3. ENCSEC presenta un formulario al usuario solicitando su user, password y “token” temporal 4. En caso de que el usuario ya se ha autenticado en otro sitio de la granja, sólo se solicita el “token” temporal (Single Sign On) 5. El usuario obtiene de su móvil el “token” temporal y lo introduce (si es necesario, junto a su user y pwd en el formulario) 6. El componente ENCSEC acude a AD con ese usuario y password y 7. si es correcto accede a la clave para descifrar el “token” que ha llegado en el formulario. Si el user/pwd no es correcto se devuelve error de autenticación al usuario 8. Si al descifrar el “token” y obtener el “sello de fecha” han pasado más de 1 minuto, se rechaza la petición. Y si todo es correcto se le da permiso de acceso al usuario cargándole con una cookie temporal para poder operar por las próximas 24h en el sitio, desde esa sesión y navegador. Proceso de autenticación
    6. 6. Proceso provisión de permisos (1) Las aplicaciones web a blindar se configuran con el sistema de autenticación ENCSEC (2) Un script genera los datos en AD para las claves privadas de los usuarios a acceder a sitios blindados (3) El usuario accede a la URL que facilita la configuración de su App de generación de tokens con una clave pública del usuario (4) El App de generación de tokens queda preparado para generar tokens válidos temporalmente (1) Las aplicaciones web a blindar se configuran con el sistema de autorización std de SharePoint
    7. 7. • La gestión de autenticación de usuarios en la aplicación web de SharePoint a blindar se configura a nivel del componente específico ENCSEC • La gestión de autorizaciones de un usuario en la aplicación web de SharePoint se gestiona a nivel de SharePoint de forma estándar • PROVISIÓN DEL SERVICIO • Cada usuario que va a acceder a sitios blindados necesitaría una App en su móvil (a su elección entre las muchas disponibles) para generar tokens temporales a partir de una clave pública configurada previamente. – Cada vez que un usuario quiere acceder a un sitio blindado se le presenta un form pidiéndole usuario, pwd y token temporal. – Se accede al AD a validar usuario y contraseña, y con la clave privada residente como metadato en el AD del usuario, se desencripta el token temporal y se valida si es suficientemente reciente. Si es de hace menos de 1 minuto se le da permiso a acceder a la aplicación web de SharePoint. • El acelerador “sitios blindados de sharepoint” ofrece una página web con la clave pública a configurar la APP de generación de tokens temporales de cada usuario Autenticación y autorización
    8. 8. • El App en el móvil funciona como cartera para guardar la clave secreta de los usuarios que genera los “tokens”. Esta cartera es el “secundo factor” que valida la identidad de usuario. • Este App no es un desarrollo a medida si no aplicaciones hechas por proveedores como Google y Microsoft que soportan el estándar publico de “Time-based One-time Password Algorithm” (TOTP). Ese estándar, RFC6238 , esta publicado en http://tools.ietf.org/html/rfc6238 • Las plataformas soportadas son Android, IOS, Windows Phone, Blackberry, Linux (PAM). No solo funcionan con clientes móviles. También hay clientes para el escritorio (Desktop), Web y Java disponibles (multiplataforma). Cartera de autenticación
    9. 9. Valoración de esfuerzos 02
    10. 10. • SERVICIOS Y ACELERADOR – Implantación y puesta en marcha del modelo de autenticación basado en ENCSEC para una granja SharePoint 2013 on-premises – Configuración como blindado del primer aplicativo web de SharePoint a fortificar – Validación del modelo de aprovisionamiento del servicio y un primer usuario logrando acceder – Documentación de explotación del sistema – … – NO INCLUIDO: • App móvil para generación de tokens temporales específica para la empresa. • Despliegue en más de un entorno • Personalizaciones del sistema, fuera del acelerador basado en ENCSEC • … • COSTE – 14.900,00€+IVA x granja de SharePoint • TIEMPO DE DESPLIEGUE – 2 semanas Paquete de servicios
    11. 11. Beneficios y condiciones 03
    12. 12. • Los sitios blindados son mucho más robustos en el control de su acceso, porque hay un doble sistema basado en lo que el cliente sabe y(su usuario y contraseña) y lo que tiene (su móvil). • Este modelo de control de autenticación, más el modelo de autorización de SharePoint más un correcto nivel de auditoría en los sitios a proteger ofrece un nivel de blindaje y seguridad muy robusto para sitios de SharePoint con información o procesos delicados. • Además, la percepción que tiene el usuario respecto al blindaje es en si mismo disuasorio. • Todos los protocolos y operativas de trabajo del acelerador de sitios blindados de SharePoint siguen estándares web reconocidos e interoperables. • Nota: Un Administrador de Sistemas de máximo nivel de su red, que se configurara su acceso basado en los 2 factores saltándose la normativa de gestión del AD, y que se auto-otorgara autorización de acceso para los sitios blindados, quedaría registrado y auditado en esta operación, pero no podría impedírsele su acceso a la inspección del sitio blindado. Beneficios y condiciones
    13. 13. Para localizar o contactar con ENCAMINA puedes: Contacto Enviar un mail a: encamina@encamina.com info@encamina.com Llamar al 902 196 893 962 698 064 o 917 90 67 72 Enviar un fax al 962 698 063 O hablar personalmente con: • Hugo de Juan, CEO • Jaime Camarasa, Técnico Desarrollo de Negocio Visitarnos en: Jerónimo Roure 49 46520 Puerto de Sagunto, Valencia. Paseo Castellana, 135 - 7º 28046 , Madrid, Madrid

    ×