Aumentar la seguridad en SharePoint con sitios blindados

Hemos encontrado muchas organizaciones que hacen un uso muy delicado de SharePoint, almacenando información importante y muy privada, en sitios y bibliotecas de SharePoint.
Para estas organizaciones, la gestión de permisos de Active Directory en combinación con los grupos y permisos de SharePoint no les es suficiente restricción de acceso (por algo tan básico, por ejemplo, como el hecho de poderte sentar en el PC de una persona con un usuario que sí tiene ese permiso para acceder a ese site tan delicado y sin ningún esfuerzo llegar allí y vaciarlo de información).

seguirdad en SharePoint

Para dar respuesta a este necesidad, la empresa ENCAMINA especialista en SharePoint, ha diseñado una solución llamada "sitios blindados".
El objetivo es disponer en nuestras granjas de SharePoint 2013 de un mecanismo de control de acceso más robusto (basado en two factor authentication; un estándar publico) a las aplicaciones web de SharePoint que queramos sobreproteger porque puedan contener información sensible o procesos delicados.

Solución para aumentar la seguridad en SharePoint con sitios blindados

A este componente que facilita la solución, ENCAMINA le llama ENSEC.
  1. El usuario trata de acceder a una aplicación web de SharePoint protegida
  2. El sistema de autenticación redirige la validación al componente ENCSEC
  3. ENCSEC presenta un formulario al usuario solicitando su user, password y “token” temporal
  4. En caso de que el usuario ya se ha autenticado en otro sitio de la granja, sólo se solicita el “token” temporal (Single Sign On)
  5. El usuario obtiene de su móvil el “token” temporal y lo introduce (si es necesario, junto a su user y pwd en el formulario)
  6. El componente ENCSEC acude a AD con ese usuario y password y
  7. si es correcto accede a la clave para descifrar el “token” que ha llegado en el formulario. Si el user/pwd no es correcto se devuelve error de autenticación al usuario
  8. Si al descifrar el “token” y obtener el “sello de fecha” han pasado más de 1 minuto, se rechaza la petición. Y si todo es correcto se le da permiso de acceso al usuario cargándole con una cookie temporal para poder operar por las próximas 24h en el sitio, desde esa sesión y navegador.





Cada usuario que va a acceder a sitios blindados necesitaría una App en su móvil (a su elección entre las muchas disponibles) para generar tokens temporales a partir de una clave pública configurada previamente.
Cada vez que un usuario quiere acceder a un sitio blindado se le presenta un form pidiéndole usuario, pwd y token temporal.
Se accede al AD a validar usuario y contraseña, y con la clave privada residente como metadato en el AD del usuario, se desencripta el token temporal y se valida si es suficientemente reciente.
Si es de hace menos de 1 minuto se le da permiso a acceder a la aplicación web de SharePoint.

El App en el móvil funciona como cartera para guardar la clave secreta de los usuarios que genera los “tokens”. Esta cartera es el “secundo factor” que valida la identidad de usuario.
Este App no es un desarrollo a medida si no aplicaciones hechas por proveedores como Microsoft que soportan el estándar publico de “Time-based One-time Password Algorithm” (TOTP).
Ese estándar, RFC6238 , esta publicado en http://tools.ietf.org/html/rfc6238
Las plataformas soportadas son Android, IOS, Windows Phone, Blackberry, Linux (PAM), etc.
No solo funcionan con clientes móviles. También hay clientes para el escritorio (Desktop), Web y Java disponibles (multiplataforma).

sitios blindados de sharePoint

Visión de negocio

  • Los sitios blindados son mucho más robustos en el control de su acceso, porque hay un doble sistema basado en lo que el cliente sabe y (su usuario y contraseña) y lo que tiene (su móvil).
  • Este modelo de control de autenticación, más el modelo de autorización de SharePoint, más un correcto nivel de auditoría en los sitios a proteger ofrece un nivel de blindaje y seguridad muy robusto para sitios de SharePoint con información o procesos delicados.
  • Además, la percepción que tiene el usuario respecto al blindaje es en si mismo disuasorio.
  • Todos los protocolos y operativas de trabajo del acelerador de sitios blindados de SharePoint siguen estándares web reconocidos e interoperables.

1 comentario :

  1. Poco a poco la nube de Microsoft ya va ofreciendo parte de este servicio:

    Ya está disponible la autenticación multifactor para Office 365
    La autenticación multifactor para Office 365, con tecnología de autenticación multifactor de Windows Azure, funciona únicamente con las aplicaciones de Office 365 sin ningún coste adicional y se administra desde el portal de Office 365.

    Para habilitar la autenticación multifactor en otras aplicaciones, los clientes pueden adquirir el servicio de Autenticación multifactor de Windows Azure, que ofrece un excelente conjunto de capacidades, opciones de configuración adicionales a través del portal de Windows Azure, informes avanzados y soporte técnico para una amplia gama de aplicaciones tanto en la nube como locales. Los clientes de Office 365 que desean disponer de la funcionalidad adicional también pueden adquirir la Autenticación multifactor de Windows Azure

    ResponderEliminar