Model zabezpečení technologie Windows Server AppFabric

Své aplikace služby .NET Framework spravované technologií Windows Server AppFabric musíte chránit tak, aby uživatelé mohli přistupovat pouze ke službám a datům, ke kterým mají oprávnění. Je třeba za tímto účelem tyto uživatele identifikovat, ověřit, zda jsou těmi, za které se vydávají, a stanovit, zda mají oprávnění zobrazovat informace nebo provádět požadovanou úlohu. Výměna zpráv mezi klientem a serverem musí probíhat zabezpečeným kanálem, který zajistí soukromý přenos informací. Technologie společnosti Microsoft, které podporují technologii AppFabric, poskytují integrované služby, které společnostem umožňují bezpečně se připojovat k jejich aplikacím a používat je. Správci technologie AppFabric nemusí spravovat několik sad uživatelských databází a veškeré služby pro doslova stovky intranetových serverů lze snadno spravovat jediným grafickým nástrojem. Díky integraci produktů a technologií zabezpečení společnosti Microsoft, které podporují technologii AppFabric, můžete uživatelům přidělovat přístup ke všem prostředkům, které potřebují ke spouštění svých aplikací.

Hlavní části zabezpečení technologie AppFabric

Prvořadým cílem modelu zabezpečení technologie AppFabric je nabídnout většině uživatelů technologie AppFabric snadný, ale efektivní mechanismus. Díky jeho integraci se stávajícími modely zabezpečení systému Windows, rozhraní .NET Framework, služby IIS a systému SQL Server mohou uživatelé při používání modelu zabezpečení technologie AppFabric zúročit nejmodernější poznatky a možnosti v oblasti zabezpečení. Konkrétně se zde koncepce zabezpečení systému Windows, rozhraní .NET Framework, služby IIS a systému SQL Server využívají k posílení různých úrovní zabezpečení u spravovaných aplikací WCF a WF. Jelikož technologie AppFabric přidává do robustního integrovaného zabezpečení společnosti Microsoft pouze méně významné zlepšovací prvky, bude tento model zabezpečení snadno uchopitelný pro správce ovládající koncepce zabezpečení společnosti Microsoft. Zákazníkům to přinese nižší dlouhodobé celkové náklady na vlastnictví technologie AppFabric. Pokud jste již s těmito produkty a technologiemi obeznámeni, můžete svou aplikaci snadno zabezpečit postupem uvedeným v části Zabezpečení a ochrana.

Technologie AppFabric používá tyto stávající koncepce zabezpečení:

• Zabezpečení systému Windows: Technologie AppFabric využívá zabezpečení skupin a systému souborů Windows. Robustní architektura zabezpečení systému Windows je trvalé používána v rámci všech komponent aplikace s ověřováním vázaným na řízený přístup ke zdrojům technologie AppFabric. Další informace naleznete v tématu Zabezpečení systému Windows.

• Zabezpečení rozhraní .NET Framework: Technologie AppFabric využívá pro své služby WCF a WF zabezpečení služby Windows Communication Foundation. Služba WCF je distribuovaná programovací platforma, která využívá zprávy SOAP – zabezpečování zpráv mezi klienty a službami je pro ochranu dat nezbytností. Služba WCF poskytuje všestrannou a interoperabilní platformu umožňující výměnu zpráv zabezpečení na základě stávající infrastruktury zabezpečení i standardů zabezpečení uznávaných pro zprávy protokolu SOAP. Služba WCF využívá koncepce, které vám budou známé, pokud jste pomocí stávajících technologií, jako je protokol HTTPS a integrované zabezpečení systému Windows, vytvořili bezpečné, distribuované aplikace, nebo ověřujete uživatele pomocí uživatelských jmen a hesel. Další informace naleznete v tématu Zabezpečení služby IIS a rozhraní .NET Framework.

• Zabezpečení služby IIS: Technologie AppFabric využívá podskupinu funkcí zabezpečení služby IIS, protože její služby jsou hostovány ve službě WAS (Aktivační služba procesů systému Windows) a její nástroje správy jsou zobrazeny ve Správci služby IIS. Služba IIS díky své těsné integraci s operačním systémem Windows nabízí ty nejvyšší úrovně zabezpečení aplikací a dat. Služba IIS začleňuje do operačního systému a modelu zabezpečení systému Windows NT služby, jako je systém souborů a adresář. V případě, že služby pracovních postupů technologie AppFabric potřebují získat přístup k databázi trvalosti za běhu, využívá technologie AppFabric koncepci identity fondu aplikací. Služba IIS používá stejné seznamy řízení přístupu (ACL) jako systém Windows NT Server a stejně tak i všechny ostatní služby Windows. A protože služba IIS používá uživatelskou databázi systému Windows NT Server, nemusí správci technologie AppFabric vytvářet samostatné uživatelské účty pro každý webový server a uživatelům intranetu stačí se ke své síti přihlásit pouze jednou. Další informace naleznete v tématu Zabezpečení služby IIS a rozhraní .NET Framework.

• Zabezpečení systému SQL Server: Technologie AppFabric vytváří databázové role systému SQL Server, kterými řídí přístup ke svým databázím trvalosti a monitorování. Technologie AppFabric používá pro přístup ke svým databázím systému SQL Server integrované ověřování systému Windows. Integrované zabezpečení používá ke vstupu do databází systému SQL Server aktuální identitu systému Windows stanovenou na základě vyvolávacího vlákna. Díky tomu můžete v technologii AppFabric namapovat identitu systému Windows do databází a oprávnění systému SQL Server. Další informace naleznete v tématu Zabezpečení systému SQL Server.

Konceptuální role zabezpečení technologie AppFabric

Lépe lze model zabezpečení technologie AppFabric pochopit na základě atributů tří rolí zabezpečení technologie AppFabric. Tyto role jsou čistě konceptuální a v celém modelu zabezpečení nenajdete entity s takovými názvy. Konceptuální role se však projevují v rámci odpovídajících mapovaných fyzických skupin zabezpečení systému Windows a databázových rolí systému SQL Server. Ve svém zabezpečovacím řešení přidělíte uživatele a oprávnění k těmto rolím takto:

• Pozorovatelé aplikačního serveru: Tato role pro správu vám dává absolutní přehled o datech trvalosti a monitorování aplikace. Pozorovatelé aplikačního serveru mohou:

  • Vytvářet výčet aplikací a služeb

  • Zobrazovat konfiguraci aplikací a služeb

  • Zobrazovat data monitorování

  • Prověřovat trvalé instance

• Správci aplikačního serveru: Tato role pro správu vám dává plnou kontrolu nad konfigurací aplikace a jejím monitorováním a trvalostí. Správci aplikačního serveru mohou provádět všechny úlohy jako skupina pozorovatelů aplikačního serveru a také níže uvedené úlohy:

  • Pozastavit, obnovit, ukončit, zrušit a mazat trvalé instance

  • Vytvářet a odebírat zdroje událostí a kolektory událostí

  • Zobrazit, vyprázdnit a archivovat data monitorování

• Uživatelé aplikačního serveru: Tato role je ve službě IIS používána během doby běhu k přidělování identit všech hostitelských aplikací fondů aplikací. Službám obsaženým v aplikacích to umožňuje sdílený přístup k databázím trvalosti a systémovým službám.

Vše, co jako uživatel technologie AppFabric potřebujete vědět, je, že tyto tři konceptuální role technologie AppFabric využijete při vývoji svého bezpečnostního řešení. Podle pokynů v této dokumentaci přidělíte příslušné uživatele a oprávnění do odpovídajících skupin a účtů systému Windows NT, do fondů aplikací služby IIS a k databázovým rolím a přihlašovacím údajům systému SQL Server. Další informace a důležité pokyny k zabezpečení v rámci použití rolí technologie AppFabric, jejich bezpečnostních oprávnění a postupu, kterým mapují skupiny zabezpečení systému Windows a databázové role systému SQL Server, najdete v tématech Zabezpečení systému Windows, Zabezpečení služby IIS a rozhraní .NET Framework a Zabezpečení systému SQL Server.

Rozsah zabezpečení technologie AppFabric

Technologie AppFabric používá účty zabezpečení systému Windows a databázové role a přihlašovací údaje systému SQL Server ke stanovení přístupu, který uživatel či aplikace má k systémovým prostředkům, jako jsou databáze trvalosti, údaje časovače, data monitorování a konfigurační soubory. Přístup k těmto prostředkům je na úrovni aplikace i správy, což jsou dvě oblasti logického rozsahu, které souvisejí s modelem zabezpečení technologie AppFabric. Úroveň aplikace obklopuje proces běhu služeb technologie AppFabric hostovaných jako aplikace služby IIS. Úroveň správy souvisí z hlediska administrace se správou technologie AppFabric. Za účelem lepšího pochopení tří rolí zabezpečení technologie AppFabric si jejich použití objasníme v rámci úrovní aplikace a správy.

Úroveň aplikace

Úroveň aplikace definuje skutečný běh služeb systému .NET Framework, které jsou nakonfigurovány v technologii AppFabric a hostovány v procesním prostoru služby WAS ve službě IIS. Nejde o správu ani nástroje; ty spadají do oblasti správy. Koncepce úrovně aplikace se vztahují na konceptuální roli zabezpečení uživatelů aplikačního serveru technologie AppFabric. Tato role mapuje skupinu IIS_IUSRS Windows, což je skupina zabezpečení systému Windows používaná pro účet služby IIS. Další informace naleznete v tématech Zabezpečení systému Windows, Zabezpečení služby IIS a rozhraní .NET Framework a Zabezpečení systému SQL Server.

Každá aplikace běží v rámci jednoho fondu aplikací. Tento fond může být výchozím fondem aplikací nebo můžete vytvořit a nakonfigurovat vlastní fond aplikací. (Vytvoření a konfigurace fondu aplikací je administrativní funkcí popsanou v části Úroveň správy níže.) Fond aplikací slouží k seskupování aplikací a služeb do jednoho pracovního procesního prostoru. Sdílíte tak tedy nastavení konfigurace a ostatní entity operačního systému. Protože každý pracovní proces pracuje jako samostatná instance spustitelného souboru pracovního procesu (W3WP.EXE), je pracovní proces, který obsluhuje jeden fond aplikací, oddělen od pracovního procesu, který obsluhuje jiný fond aplikací. To umožňuje oddělení aplikací tehdy, pokud hostujete aplikaci v jejím vlastním fondu aplikací. Oddělením aplikací zajistíte, že pokud se webová aplikace zhroutí, neovlivní to aplikace, které běží v jiných fondech aplikací.

Dalším přínosem oddělení aplikace je přizpůsobené oddělení zabezpečení. Díky tomu lze nakonfigurovaný objekt zabezpečení pracovního postupu hostící fond aplikací (obsahující službu .NET Framework technologie AppFabric) použít při přístupu k podřízeným zdrojům, jako je systém SQL Server. Výchozí identitou fondu aplikací je účet Network_Service. Vlastní identitu účtu Windows můžete přidělit, pokud je váš fond aplikací nakonfigurován ve službě IIS. Za běhu přeposílá služba WAS všechny příchozí zprávy z řady fondu aplikací do řádného pracovního procesu W3WP.EXE pomocí vazeb webové aplikace určené v metabázi služby IIS. Tímto postupem technologie AppFabric umožňuje aktivaci koncových bodů a služeb služby WCF pomocí jiných protokolů než HTTP. Služba IIS dynamicky přebírá všechny účty Windows svých fondů aplikací a přidává je do místní skupiny zabezpečení BUILTIN\IIS_IUSRS Windows. To znamená, že pokud vytvoříte pro svou aplikaci vlastní fond aplikací, přidá služba IIS identitu tohoto fondu aplikací automaticky do skupiny IIS_IUsers Windows.

Používání více fondů aplikací s různými identitami zabezpečení umožňuje izolaci aplikace s ohledem na přístup do databází monitorování a trvalosti technologie AppFabric během doby běhu. Tyto databáze jsou standardně kompletně sdíleny se všemi ověřenými identitami technologie AppFabric používanými jejich hostovanými fondy aplikací. Potřebujete-li vyšší úroveň zabezpečení za využití izolace, můžete konkrétním identitám podrobněji přidělovat ověření k příslušným databázovým zdrojům pomocí speciálních fondů aplikací služby IIS. Zabezpečení můžete řídit za běhu tak, že pro specifické aplikace vytvoříte vlastní databáze a zajistíte připojení těchto specifických identit k těmto vlastním databázím. Nebo můžete jednotlivé aplikace izolovat od databáze monitorování a povolit přístup pouze do databáze trvalosti.

Úroveň aplikace se také vztahuje na systémové služby, které technologie AppFabric nainstaluje a používá:

• Služba Shromažďování událostí: Shromažďuje události pocházející z technologie AppFabric a hostovaných aplikací.

• Služba Správa pracovního postupu: Zpracovává řídicí příkazy pracovního postupu, aktivuje instance pracovního postupu s časovači s prošlou platností a znovu spouští zrušené služby pracovního postupu.

Obě služby běží pod účtem NTAuthority\LocalService. Účet LocalService má oprávnění odesílat události sledování a také manipulovat trvalými instancemi (ukončovat, pozastavovat a obnovovat).

Nárůst řídicích prvků zabezpečení obvykle snižuje výkon. I když izolace aplikace zvyšuje možnosti zabezpečení, představuje zároveň zvýšené nároky na paměť a procesní prostředky, a to v důsledku existence více procesů. Za účelem uchování zdrojů můžete aplikace izolovat místo oddělených procesů pomocí modelu appDomain služby .NET Framework. Ve stejném procesu v rámci různých modelů appDomain mohou bezpečně koexistovat dvě nebo více aplikací, které budou vzájemně respektovat svou virtuální paměť a datové hodnoty.

Úroveň správy

Úroveň správy definuje správu a nástroje spojené se správou aplikací. Nejde o skutečné provádění služeb rozhraní .NET Framework nakonfigurovaných v technologii AppFabric; to pokrývá úroveň aplikace. Koncepce úrovně správy se vztahují na konceptuální role zabezpečení správců aplikačního serveru a pozorovatele aplikačního serveru technologie AppFabric.

Úroveň správy souvisí se správou technologie AppFabric a jejích podpůrných technologií z hlediska správy a systémových služeb. Operace správy můžete provádět před spuštěním aplikace, například nasadit a nakonfigurovat do technologie AppFabric aplikaci rozhraní .NET Framework. Lze je také provádět během provádění, jakmile bude stav pracovního postupu uložen jako trvalý a další krok bude nutné zpracovat prostřednictvím uživatelského rozhraní technologie AppFabric. Bude například nutné obnovit pozastavený pracovní postup. Bezpečnostní oprávnění pro správu konfigurace a spouštění služeb rozhraní .NET Framework nakonfigurovaných v technologii AppFabric je založeno na členství v příslušných skupinách zabezpečení Windows. Úroveň správy se také vztahuje na služby Služba Shromažďování událostí a Správa pracovního postupu, ale v tomto případě spíše z hlediska správy a řízení než z hlediska aplikace.

Konceptuální role správců aplikačního serveru a pozorovatelů aplikačního serveru jsou mapovány k místním skupinám zabezpečení AS_Administrators a AS_Observers Windows NT (v uvedeném pořadí). Skupina AS_Administrators obsahuje ID služeb Správa pracovního postupu a Služba Shromažďování událostí. Po registraci těchto služeb ve Správci řízení služby zůstává jejich ID služby neměnné. To znamená, že služby Služba Shromažďování událostí a Správa pracovního postupu budou členy skupiny AS_Administrators bez ohledu na identitu, pod kterou běží. Tato identita je obvykle NTAuthority\LocalService. Použitím ID služby místo identit služby zajistíte, že žádný jiný proces ani služba běžící pod identitou NTAuthority\LocalService nebude členem skupiny AS_Administrators. Další informace o konceptuálních rolích zabezpečení technologie AppFabric a způsobu jejich použití najdete v tématech Zabezpečení systému Windows, Zabezpečení služby IIS a rozhraní .NET Framework a Zabezpečení systému SQL Server.

Technologie AppFabric zabezpečuje úroveň správy během instalace. Jakmile rutiny prostředí Windows PowerShell během instalace vytvoří databáze monitorování a trvalosti, budou na základě odpovídajících konceptuálních rolí zabezpečení technologie AppFabric vytvořeny příslušné databázové role systému SQL Server. Například všechny role vytvořené v systému SQL Server pro roli AS_Observers jsou role čtenářů (role MonitoringDbReader pro monitorování a System.Activities.DurableInstancing.InstanceStoreObservers pro trvalost). Databázové role systému SQL Server stanovené pro přihlašovací účet AS_Administrators zahrnují všechny databázové role propojené s přihlašovacím účtem AS_Observers a dalšími rolemi, což umožňuje vytvoření a úpravu databázových entit z administrativního hlediska.

Instalace technologie AppFabric spouští standardně během svého procesu některé rutiny technologie AppFabric. Technologie AppFabric vytváří v rámci instalace technologie AppFabric na jeden server všechny nezbytné místní účty a skupiny zabezpečení systému Windows. Používáte-li technologii AppFabric na více než jednom serveru, budete muset ručně vytvořit skupiny domén systému Windows a přidělit je k řádným skupinám zabezpečení systému Windows pro daný server, aby bylo možné instalaci technologie AppFabric spravovat vzdáleně. Jako správce byste měli vytvořit skupiny domén jako fyzické manifestace konceptuálních rolí zabezpečení správců aplikačního serveru a pozorovatelů aplikačního serveru (což jsou role DOMAIN\MyAppFabricAdmins a DOMAIN\MyAppFabricObservers). Tyto účty domény můžete poté přidělit ke skupinám LOCAL\AS_Administrators a LOCAL\AS_Observers ve všech počítačích s technologií AppFabric v doméně.

Model zabezpečení pro vlastní skripty Windows PowerShell a rutiny AppFabric

Technologie AppFabric neposkytuje nový model zabezpečení pro vlastní skripty prostředí Windows PowerShell ani pro mnoho rutin prostředí Windows PowerShell, které verze technologie AppFabric obsahuje. Stejně jako v rámci ostatních aspektů svého modelu zabezpečení využívá technologie AppFabric stávající modely zabezpečení i pro své podpůrné technologie. V tomto případě používá technologie AppFabric model zabezpečení prostředí Windows PowerShell k vynucení zabezpečení u vlastních skriptů a předem vytvořených balíčků rutin technologie AppFabric.

Pokud je skript prostředí Windows PowerShell technologie AppFabric v běhu, běží pod identitou hostujícího procesu. To znamená, že objekt zabezpečení uživatele, který spouští rutinu, je předán jako ID procesu. V rámci spuštění rutiny není možné používat zosobnění v jiném kontextu zabezpečení než pro spouštění procesu hostování uživatelem.

Zatímco příkazy prostředí Windows PowerShell lze ve výchozím nastavení interaktivně spouštět, spouštění skriptů Windows PowerShell je v zájmu bezpečnosti prvotně zakázáno. Spouštění svých skriptů můžete povolit v zásadách skupiny spouštění skriptů prostředí Windows PowerShell.

Skripty prostředí Windows PowerShell, které jsou dodávány s technologií AppFabric, jsou digitálně podepsány od certifikační autority. Podepsáním entity digitálním certifikátem od certifikační autority ochráníte integritu balíčku. Použitím jednosměrných algoritmů hash a šifrování s veřejným klíčem dosáhnete procesem podepisování toho, že veškeré úpravy provedené v balíčku po jeho podepsání autorem jsou detekovány a po následném zablokování skriptu provedeny. Pomocí digitálních podpisů můžete také ověřit, zda podepisovaná entita byla ve skutečnosti vytvořena stranou, která se k jejímu vytvoření hlásí. Snadnou a méně nákladnou alternativou k použití certifikační autority je použití místní certifikované autority a serveru Microsoft Certificate Server k vytvoření certifikátu podepsaného svým držitelem (self-signed certificate). Certifikát můžete dále ochránit pomocí soukromého šifrovacího klíče.

Zabezpečení Poznámka
Podepsání balíčku skriptu prostředí Windows PowerShell prostřednictvím místní certifikační autority je minimem v rámci daných zásad důvěryhodnosti. Zatímco místně podepsaný balíček je důvěryhodný v místním systému, není důvěryhodný, pokud je spouštěn v rámci externích systémů.

Správa federovaných identit a metoda jednotného přihlašování (SSO)

Systémy federovaného ověřování jsou také známy jako systémy metody jednotného přihlašování k webu. Působnost federovaných systémů sahá napříč organizacemi a spojuje procesy, které používají různé technologie, úložiště identit, přístupy k zabezpečení a modely programování. Díky službě AD FS (Active Directory Federation Services) mohou lidé v jedné společnosti pro přístup k serverům hostovaným jinou společností používat své stávající účty služby Active Directory. Služba AD FS také ustanovuje mezi dvěma společnostmi vztah důvěryhodnosti a pro koncové uživatele výhodu bezproblémového jednotného přihlašování. Umožňuje organizacím bezpečně sdílet údaje o identitě uživatelů.

Aplikace založená na protokolu HTTP spravovaná technologií AppFabric připomíná po mnoha stránkách aplikaci služby IIS. Chcete-li integrovat službu federované správy identity a ověření jednotného přihlašování k webu do své aplikace, můžete použít službu AD FS stejně, jako byste ji použili pro aplikaci služby IIS. Služba AD FS mapuje přihlašovací účet, který vpouští aplikaci k účtu domény, a poté provede ověření pomocí účtu domény ke službě IIS.

Protože služba .NET Framework 4 používá službu WCF a její model zabezpečení ke komunikaci mezi svými spravovanými službami a jejich klienty, přesahuje tradiční model služby IIS, který podporuje pouze aplikace na bázi HTTP, hranice tohoto protokolu. Používáte-li protokol HTTP bez ověřování přenosu nebo s aplikací nezaloženou na tomto protokolu, implementujte pomocí programovacího rozhraní v rámci své služby zpracování deklarací identity. Aplikace pracující s deklaracemi identity používá deklarace, které se nacházejí v tokenu zabezpečení služby AD FS, k rozhodování o autorizacích a k zajištění dalšího přizpůsobení aplikace. Stejně jako u služby AD FS byste měli pro účely integrace zpracování deklarací identity do své aplikace porozumět způsobu, jakým zpracování deklarací identity spolupracuje s aplikací služby IIS.

V této části

• Zabezpečení systému Windows

• Zabezpečení služby IIS a rozhraní .NET Framework

• Zabezpečení systému SQL Server

• Souhrn integrace zabezpečení

Další odkazy

Další prostředky

Balíček zabezpečení CTP služby WF

  2011-12-05