Parmi les cauchemars les plus effrayants des administrateurs système et réseau il y a celui de retrouver son système d’information infecté par un virus ou autre indésirable.
Le risque de stocker et de propager des virus via SharePoint est assez élevé, en effet celui-ci stocke des documents en tous genre provenant sans distinction de stockages réseau, clefs usb, mails, disquettes ou autre pigeons voyageurs. Autant de vecteurs d’infection potentiels.
Et on le sait, toutes les entreprises sont loin d’avoir une protection complète sur l’ensemble de son système d’information, et même si c’était le cas, un utilisateur, malintentionné ou pas, trouvera toujours le moyen d’élever une bestiole de de la ramener au bureau.
La solution pour ne pas se retrouver avec des bases de données SharePoint corrompues (c’est un produit déjà assez compliqué, faudrait pas qu’on nous le casse en plus) et/ou pour ne pas se retrouver avec une ferme qui distribue des virus à qui en voudra est d’installer un antivirus capable d’interagir avec SharePoint.
Nous allons ici nous concentrer sur les solutions proposées par Microsoft : Microsoft ForeFront Protection for SharePoint 2010. Successeur de ForeFront Security for SharePoint.
Ce produit est capable de protéger des fermes en de génération 2007 ou 2010.
Nous allons passer sur la présentation générale du produit, car vous la trouverez facilement sur internet, pour en venir aux problématiques de topologie : sur quels serveurs de la ferme doit-on déployer FFPFS ? Car cela est simple sur une ferme avec un seul serveur mais pour les topologies plus complexes il y a matière à réflexion.
De manière à mieux appréhender la question nous allons prendre un peu de recul et voir comment FFPFS protège votre ferme. Cela se fait de deux manières différentes :
Lors du transit des documents
Lorsqu’ils sont stockés, durant les analyses
Lorsqu’un document est envoyé vers la ferme ou téléchargé par l’utilisateur depuis la ferme, ForeFront analyse ce document avec 5 moteurs d’analyse différents avant même qu’il arrive sur IIS et avant qu’il parte vers l’utilisateur.
Lors d’une analyse de contenu, le contenu de la ferme (application web par application web, librairie par libraire, document par document, pièce de document par pièce de document) est analysés, ces analyses peuvent être lancées manuellement et/ou planifiées, cependant elles sont très gourmandes, aussi évitez de les lancer pendant la période haute de votre activité.
Maintenant que l’on a compris comment FFPFS protège notre ferme nous sommes aptes à déterminer sur quels serveurs nous devons le déployer :
Pour prévenir l’infection, l’analyse lors du transit, sur tous les serveurs frontaux de notre ferme
Pour les analyses du contenu, sur un serveur applicatif qui dispose de ressources, notez que ce « rôle » peut aussi être assuré par un des serveurs web frontaux
Passons à un cas concret maintenant que la théorie est expliquée.
Dans le diagramme ci-dessous une communauté compte utiliser SharePoint pour son site, et publier ainsi toutes ses ressources. Ressources qui seront rédigées et uploadées par l’ensemble de ses membres dont la protection antivirus n’est pas assurée. Ressources qui seront consultées par un public assez varié sur internet et dont la protection antivirus n’est pas assurée non plus.
Aussi pour ne pas devenir une plateforme tournante de virus la ferme se doit d’intégrer une solution antivirus.
Pour ce qui est de la structure de la ferme le trafic web passe d’abord par un pare-feu (qui n’intègre pas de solution antivirus dans notre exemple) puis par un load balancer qui distribue la charge entre 3 serveurs web frontaux identiques. La ferme est aussi composée de deux serveurs SQL en miroir, d’un serveur d’indexation, un serveur de recherche ainsi qu’un serveur d’administration centrale +applicatif (service profil utilisateur…)
Comme vous le voyez la protection en temps réel est installée sur les trois serveurs frontaux, c’est le serveur applicatif qui quant à lui réalisera les analyses du contenu en base.
Précisions supplémentaires :
Il faut savoir que pour ce qui est du comportement des mises à jour des moteurs FFPFS se comporte comme ForeFront EndPoint. Ainsi sur des fermes de très très grosse taille d’autres problématiques entrent en jeu telles que l’optimisation du déploiement des mises à jour etc.
FFPFS reste personnalisable afin d’obtenir les meilleurs performances possibles pour votre topologie. Pour en savoir plus je vous conseille de regarder la vidéo suivante (anglais, 1H10) https://go.microsoft.com/?linkid=9748819
Pour en apprendre plus sur les problématiques liées au déploiement d’une protection antivirus globale pour une ferme SharePoint (du serveur mail, au client vers la ferme SharePoint en passant par les partages réseau) je vous invite à consulter cette page ainsi qu’à vous documenter sur les autres produits de la gamme Forefront https://technet.microsoft.com/en-us/gg467338
Bien sûr d’autres solutions que celles fournies par Microsoft existent pour protéger SharePoint, en voici quelques-unes :
https://www.sophos.fr/products/enterprise/endpoint/security-and-control/sharepoint/