Share via

Procédure pas à pas : création d'une zone de sécurité partie 1

  • Article

Mise à jour : novembre 2007

Cette procédure pas à pas repose sur Procédure pas à pas : création de diagrammes de centre de données logique.

Dans cette procédure pas à pas, vous allez apprendre à utiliser des contraintes définies par l'utilisateur et des contraintes de point de terminaison de zone pour créer des conditions très spécifiques pour les serveurs logiques hébergés dans cette zone. Vous apprendrez aussi à créer un prototype réutilisable de la zone que vous pouvez stocker sur la boîte à outils. La première étape consiste à limiter le type de communication autorisé dans la zone. Pour cette procédure pas à pas, vous allez travailler avec la zone de sécurité PerimeterNetwork que vous avez créée dans Procédure pas à pas : création de diagrammes de centre de données logique.

Pour autoriser uniquement le trafic de zone entrant sur https uniquement sur le Port 443

  1. Cliquez avec le bouton droit sur le point de terminaison de zone entrant Internet, puis cliquez sur Paramètres et contraintes pour afficher l'Éditeur de paramètres et de contraintes.

  2. Sous Contraintes pour les communications de zone, désactivez les cases à cocher DatabaseServerEndpoint et GenericServerEndpoint.

    Cela empêche les serveurs de base de données ou les serveurs génériques d'être connectés au point de terminaison de zone entrant.

  3. Activez la case à cocher Défini par l'utilisateur sous WebSiteEndpoint.

  4. Développez Défini par l'utilisateur et activez la case à cocher WebSite sous Défini par l'utilisateur.

    Cela vous permet d'écrire des contraintes sur les sites Web qui communiquent (se connectent) avec le point de terminaison de zone entrant.

  5. Sélectionnez l'en-tête Site Web dans le volet gauche de l'éditeur. Dans le volet droit, développez l'arborescence Authentification et activez la case à cocher SecureBindings.

  6. Sous Opérateur, sélectionnez Contient un(e) seul(e).

  7. Cliquez sur le champ Valeur, puis cliquez sur le bouton de sélection (…).

    L'Éditeur de collections ComplexSetting s'affiche.

  8. Cliquez sur Ajouter.

  9. Sous Port, entrez 443.

  10. Laissez le champ Adresse IP vide.

  11. Cliquez sur OK.

Vous avez maintenant contraint tout le trafic passant par le point de terminaison de zone entrant à passer par le port 443, qui gère le trafic HTTPS. L'étape suivante consiste à restreindre les types de serveurs logiques autorisés dans la zone.

Pour restreindre ce que la zone peut contenir

  1. Sélectionnez la forme de zone et affichez l'Éditeur de paramètres et de contraintes.

  2. Sous Contraintes pour la contenance de zone, désactivez les cases à cocher GenericServer, WindowsClient et Zone.

En procédant ainsi, vous contraignez la zone et l'empêchez de contenir des serveurs génériques (serveurs pouvant héberger n'importe quel type d'application), des serveurs Windows (serveurs pouvant héberger des clients Windows) ou d'autres zones. Si vous essayez de déplacer l'un de ces éléments dans la zone à partir de la boîte à outils ou dans un autre endroit sur le diagramme de centre de données logique, vous ne pourrez pas le faire.

L'étape suivante consiste à ajouter un serveur de base de données à la zone.

Pour ajouter un serveur de base de données à la zone

  1. Faites glisser un serveur DatabaseServer vers le diagramme à partir de la boîte à outils et placez-le à l'intérieur de la zone PerimeterNetwork.

  2. Nommez le serveur SessionStore.

    Ce serveur servira à stocker les informations d'État de session SQL du serveur Web HardenedIIS.

  3. Sélectionnez le point de terminaison fournisseur de SessionStore, appuyez sur ALT et connectez-le à HardenedIIS.

L'étape suivante consiste à écrire une contrainte de zone qui empêche les serveurs Web d'héberger des services Web.

Pour empêcher des serveurs Web d'héberger des services Web

  1. Cliquez sur la zone.

  2. Sous Contraintes pour la contenance de zone, développez IISWebServer, puis activez les cases à cocher Défini par l'utilisateur, InternetInformationServices et WebSites.

  3. Sélectionnez le nœud Sites Web dans le volet gauche et développez le nœud Contenu dans le volet droit de l'Éditeur de paramètres et de contraintes.

  4. Sélectionnez ScriptMaps.

    Remarque :

    Si vous avez sélectionné WebSite à la place de WebSites dans le volet gauche de l'éditeur, la section ScriptMaps ne s'affichera pas sous Contenu.

  5. Sous Opérateur, sélectionnez Ne contient aucun(e) dans la zone de liste.

  6. Cliquez sur le champ Valeur, puis cliquez sur le bouton de sélection (…).

    L'Éditeur de collections ComplexSetting s'affiche.

  7. Cliquez sur Ajouter.

  8. Sous FileExtension, tapez .asmx.

  9. Sous IncludedVerbs, tapez GET,HEAD,POST,DEBUG.

    Remarque :

    Entrez cette chaîne exactement telle qu'elle apparaît. Si vous ajoutez des espaces ou modifiez l'ordre des verbes, cette contrainte ne fonctionnera pas.

  10. Affectez à Script la valeur True.

  11. Sous ScriptProcessor, saisissez le chemin d'accès à aspnet_isapi.dll. (%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll)

  12. Cliquez sur OK.

Cette contrainte empêche les services Web d'être hébergés sur des serveurs Web à l'intérieur du réseau de périmètre. Pour cela, elle empêche tout serveur Web d'héberger des sites Web qui autorisent l'exécution de certaines tables de scripts. Cette contrainte étant créée sur la zone elle-même, tout serveur Web placé à l'intérieur de la zone sera évalué par rapport à cette contrainte, de même que les applications hébergées sur le serveur Web.

La dernière étape consiste à créer une version réutilisable de cette zone, accessible à partir de la boîte à outils et pouvant être partagée dans votre organisation.

Pour créer un prototype réutilisable de la zone PerimeterNetwork

  1. Cliquez sur la zone.

  2. Dans le menu Diagramme, choisissez Ajouter à la boîte à outils.

    La boîte de dialogue Ajouter à la boîte à outils s'affiche.

  3. Sous Nom, tapez PerimeterNetwork et cliquez sur OK.

    La boîte de dialogue Enregistrer le fichier s'affiche. Le fichier est enregistré avec l'extension .lddprototype, correspondant aux prototypes pouvant être utilisés dans le Concepteur de centres de données logiques.

  4. Cliquez sur Enregistrer.

  5. Ouvrez la boîte à outils et faites glisser la zone PerimeterNetwork vers le diagramme.

En créant ce prototype, vous avez créé une version personnalisée de la zone PerimeterNetwork que vous pouvez réutiliser dans n'importe quel diagramme de centre de données logique que vous créez ou modifiez. Ce prototype s'affiche chaque fois que vous créez une nouvelle solution de système distribué. Il s'agit d'une fonction des concepteurs, et non de la solution qui était ouverte lors de sa création.

Les autres utilisateurs des Concepteurs de systèmes distribués peuvent partager ce prototype en plaçant une copie du fichier .lddprototype dans le dossier par défaut des prototypes, généralement situé à l'emplacement suivant : %ProgramFiles%\Microsoft Visual Studio <numéroVersion>\Common7\Tools\DesignerPrototypes\Prototypes. Pour plus d'informations sur la création de prototypes réutilisables dans le Concepteur de centres de données logiques, consultez Comment : créer des prototypes personnalisés à partir de zones configurées et de serveurs logiques. Pour plus d'informations sur la redistribution de ces prototypes à d'autres utilisateurs, consultez Comment : importer ou installer de nouveaux prototypes personnalisés.

Étapes suivantes

Dans la deuxième partie de cette procédure pas à pas, vous allez apprendre à effectuer les tâches suivantes :

  • définir la stratégie pour les applications hébergées sur HardenedIIS ;

  • importer des paramètres à partir d'un serveur IIS configuré existant dans HardenedIIS ;

  • évaluer le déploiement d'un service Web sur HardenedIIS.

Voir aussi

Tâches

Procédure pas à pas : création d'une zone de sécurité partie 2

Autres ressources

Conception et configuration d'une procédures pas à pas de centre de données logique