none
SharePoint 2013 en DMZ RRS feed

  • Discussion générale

  • bonjour,

    Pour étre moins vague, voici mon environnement:

    Sharepoint 2013

    Windows 2012

    Sql 2012

    4 frontaux donc 2 en dmz

    4 AS

    4 sql en cluster

    Authentification des utilisateur exterieur sso et fédération d'identité inter domaine.

    Voila a qui je joue :)

    Bien cordialement

    Ades09

    • Fractionné Marc LognoulModerator mercredi 12 décembre 2012 15:32 Discussion dérivée de la question principale
    mercredi 12 décembre 2012 12:43

Toutes les réponses

  • Bonjour,

    C'est intéressant, tu compte faire comment pour tes frontaux inter et hors DMZ?

    Une install 2013 à 12 serveurs, c'est un beau projet.

    Avec la recette et l'intégration, c'est les fabricants d'ESX qui vont t'aimer :-)



    Emmanuel ISSALY - Architecte Infra Sharepoint (MCITP 2010)

    mercredi 12 décembre 2012 12:59
  • salut,

    Pour des raison budgetaire, les clients ont choisit hyperv. Bon, on verra bien ce que cela va donner.

    Pour ce qui est les deux frontaux en dmz et les deux du Lan, les ports adequate seront ouvert, mais pas plus.

    et vu qu'ils feront partie du meme domaine, pas de soucis.

    plutot des pb d'authentification notament avec des techo comme pingfederate, que personne ne connait chez nous.

    et la je ne te parle que de la première partie de l'architecture :)

    oui on s'amuse mais s'est quand meme épuisant des jours :)

    ades09

    mercredi 12 décembre 2012 13:27
  • Le DMZ et le LAN sur le même domaine, c'est un concept :-)

    Comment va tu adresser, par exemple, le lien avec la BDD? Je suppose que tu parles plus d'un cloisonnement que d'une vraie DMZ? 

    Sinon, Hyper-V et VMWARE sont plutot au même niveau maintenant, afaik. 


    Emmanuel ISSALY - Architecte Infra Sharepoint (MCITP 2010)

    mercredi 12 décembre 2012 13:43
  • salut,

    oui désolé je parlais de cloisonnement :)

    en fait, c'est un peu compliqué à expliquer comme ca.

    deja meme pour nous, tout n'es pas clair. On découvre au fur et à mesure. c'est l'aventure :)

    Mais bon on y arrive tout doucement

    ades09

    mercredi 12 décembre 2012 14:03
  • Je me suis permis de scinder le sujet étant donné que la suite de la discussion ne correspondait plus avec la question originale. Je vous laisse entretemps continuer celle-ci...

    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn


    mercredi 12 décembre 2012 15:34
    Modérateur
  • Ok Marc ;)

    Ades, je te conseille de regarder les schémas sur le net à propos de "perimeter network" et autres.

    Il a plusieurs solutions, de la double ferme intranet + extranet à la DMZ totale. Il faut bien définir ou tu va placer tes serveurs, et ce qui va être offert aux utilisateurs.

    En tous cas la DMZ a des contraintes énormes, et un SharePoint dans le domaine ressource avec un UAG devant peut suffire si le contexte est juste de "fermer un peu la porte". Evidemment, si données sensibles exposées sur un extranet tu n'aura pas forcement le choix.

    Penser à la DMZ comme un endroit ou on cause pas autrement qu'http(s) par défaut. Le seul truc à l'aise dans une DMZ, c'est un fichier .HTML :)



    Emmanuel ISSALY - Architecte Infra Sharepoint (MCITP 2010)

    mercredi 12 décembre 2012 15:47
  • Il n'est pas rare de rencontrer des topologies recommandées par des experts sécurité qui impose de segmenter les éléments applicatifs dans différentes zones réseau. Typiquement, la couche présentation est séparée des la couche applicative et BDD.

    Par expérience, je dirais que ce modèle ne fonctionne pas (bien) avec SharePoint pour les raisons principales suivantes:

    1. La complexité et la quantité de flux réseaux à autoriser: entre ça ou pas de pare-feu du tout, la limite est mince
    2. La latence entre serveurs s'en trouve très souvent impactée. Pour rappel, la "supportabilité" s'en trouve également impactée
    3. L'agilité de l'infra se trouve également bridée: pas simple de déplacer des rôles, de la grouper etc. avec des flux réseau restreints
    4. Sur le long terme, la complexité opérationnelle entrainer un surcout au moins aussi important que le risque couvert par ce type d'architecture
    5. Enfin, A titre personnel, je ne pense pas que cela relève intrinsèquement le niveau de sécurité

    -> Dans les grandes lignes, je rejoins donc Emmanuel.

    Pour info, les diagrammes actuellement disponibles: http://technet.microsoft.com/en-us/library/cc263199.aspx.


    Marc Lognoul [Infrastructure Expert]

    My Site/Mon Site |  MyBlog [EN]  | Mon Blog [FR]  |  Twitter  |  LinkedIn

    mercredi 12 décembre 2012 16:11
    Modérateur
  • 100% d'accord!

    Personnellement je trouve que la sécurité de fonctionnement est déjà bien assurée par le 3 tier et la redondance. La sécurité réseau peut s'assurer par des équipements réseau, chacun son domaine de responsabilité ;)

    Egalement, une faille applicative n'est pas arrêtée par une DMZ. Elle est par contre souvent contenue en utilisant des comptes sans privilèges. 


    Emmanuel ISSALY - Architecte Infra Sharepoint (MCITP 2010)

    mercredi 12 décembre 2012 19:56