SharePoint Portalınızda, mali verilerinizi, raporlarınızı Microsoft Excel?de paylaşıyorsunuz. Toplantı raporlarınızı Microsoft Word?de yayınlıyor, eğitim içeriklerinizi, ürünlerinizi, kampanyalarınızı Microsoft Powerpoint ile sunuyorsunuz. Dikkat! Belgeleriniz sisteminizin güvenliğini tehdit eden bir düşmana dönüşmesin?

Kurum içi belgelerimizi, iş akışlarımızı Microsoft Office SharePoint Server 2007 ile yönetiyoruz. Artık kurum yapımız, işleyişimiz çok daha hızlı ve verimli. Peki, ama kendinizi güvende hissediyor musunuz? Teknolojinin hayatımıza sorgusuz sualsiz dahil olması gün be gün hızlanmakta. ?Size bir telefon kadar yakınız.? Sloganı günümüz teknoloji insanı için sanki çok eski çağlardan kalan bir atasözü çünkü artık bilgi, iletişim ve haberleşme parmaklarımızın ucunda. Bu duruma bir de bireysel değil kurumsal açıdan bakıldığında gelişmeler daha da baş döndürücü olabiliyor. Microsoft, Office SharePoint Server 2007 (MOSS 2007) ürünü ile kurumlara ortak bilgi paylaşımı, belge yönetimi, iş akışları ve gelişmiş arama işlevleri ile veriye daha etkin, hızlı ve proaktif erişim imkânları sunuyor. MOSS 2007 üzerinde oluşturabileceğiniz web portallarıyla kullanıcılarınıza ek yazılım yüklemeden ya da karmaşık ayarlamalar geliştirmeden sadece bir web tarayıcısıyla tüm kurum için belgelerinize kullanıcılarınızın erişmesini sağlayabilir, bu belgeler üzerinde değişiklik yapmalarına izin verebilir, yetkili olan kullanıcılarınızın belge yükleme ve indirme izinlerini denetleyebilirsiniz. Ayrıca iş akışlarınızı programlayarak kurum içi prosedürlerinizi otomatikleştirebilir, Exchange Server 2007 ve OWA ile entegre çalışma imkanı sağlayabilirsiniz.

  Peki ya güvenlik?

MOSS 2007?nin çalışma hayatınızı nasıl kolaylaştıracağı ile ilgili sayfalarca yazabiliriz ancak gelin şimdi başka bir konuya odaklanalım. MOSS 2007 üzerinde kurumsal tüm belgelerimizi barındırırken geceleri uykularımızı kaçırabilecek ne gibi güvenlik endişeleri ile karşı karşıyayız? Kısaca 3 ana başlıkta MOSS 2007 güvenlik senaryolarını inceleyelim:

1-      Virüs ve diğer zararlı yazılımdan korunmak: MOSS 2007 web portalınızdan birçok kurum içi kullanımda olan belge sunacaksınız, bu belgelerin virüs ve diğer zararlı yazılımlardan etkilenmesini önlemeli, kullanıcılarınızın MOSS sunucusuna yüklediği belgelerin temiz olduğundan emin olmalısınız.

2-      MOSS 2007 portalınızı yayınlamak: Bilgiye her an ulaşması gereken çalışanlarınız için MOSS 2007 portalınızı internet?e açtınız. Peki, sitenize kimler bağlanacak, sitenizle istemcileriniz arasındaki iletişim acaba başkaları tarafından dinlenebilecek mi?

3-      Kullanıcılarınız ne kadar güvenilir?: MOSS 2007 portalınıza kullanıcılarınız kurum dışından erişebiliyorlar, işlemlerini internetin olduğu her yerden, her bilgisayardan yapabiliyorlar.  Bu sırada siz kullanıcıların bilgisayarlarında keylogger,spyware,virüs bulunup bulunmadığını nasıl denetleyebilirsiniz? Kurum içinde uyguladığınız güvenlik ilkelerini dışarıdan bağlanan kişiler için nasıl uygulayabilirsiniz? (Şekil 1)

(Şekil 1)

Eğer sizde bir MOSS 2007 yöneticisiyseniz muhtemelen bu ve benzer senaryoları sürekli olarak düşünmekte ve çeşitli çözümler uygulamaktasınızdır. Şimdi gelin bu endişeleri bizlere unutturacak Microsoft Forefront güvenlik ailesinden ürünlerle tanışalım ve MOSS 2007 sunucumuzun güvenliğinden artık daha fazla endişe etmeyelim.

Anti virüs Çözümü: Microsoft Forefront Security for SharePoint

Güvenilirliğini ve gücünü bağımsız kuruluşların araştırmalarında kanıtlamış Forefront ailesinden MOSS 2007 sunucunuz için özel geliştirilmiş ve tasarlanmış anti virüs çözümü. Forefront Security for SharePoint (FFSSPS) ürününün en büyük özelliği içerisinde birden fazla tarama motoru bulundurması. (Şekil 2)

 Şekil 2

Böylece tek bir ürün satın alarak ve kullanarak MOSS 2007 sunucunuzu 8 farklı anti virüs programıyla güvenlik altına almış oluyorsunuz. Bu hem maliyet açısından hem de kolay yönetilebilirlik anlamında büyük bir avantaj. Ayrıca 8 farklı tarama motoruyla güvenlikte en üst noktaya ulaşıyorsunuz, zararlı yazılımlar bir tarama motorundan kaçsa bile bir diğer tarama motoru tarafından yakalanabiliyor, güncel olmayan bir tarama motoru yerine sistem daha güncel olan bir diğer tarama motorunu tercih edebiliyor. Üstelik tüm bu tarama motorlarının güncellemelerini tek bir ekrandan ve Microsoft üzerinden yapabiliyorsunuz. Her bir tarama motoru için farklı güncelleme ayarları ve zamanlamaları yapılandırabilmeniz de mümkün.

FFSSPS ürünü içerisinde iki farklı zararlı yazılım tarama görevi bulacaksınız; Realtime ve Manual. Bu görevlerle kullanıcılarınız aktif olarak web portalınız üzerinde çalışırken etin olarak koruma sağlayabileceğiniz gibi Manual tarama görevini zamanlayarak portalınızın isterseniz sadece belirli bölümlerini de zararlı yazılımlara karşı taratabilirsiniz. FFSSPS ile birbiri içine yuvalanmış ZIP ya da RAR gibi arşiv dosyalarını da güvenlik kontrolünden geçirebilir, bunların içerisine gizlenmiş zararlı yazılımları engelleyebilirsiniz.

FFSSPS ürünü ayrıca dosya ve içerik filtreleme özelliklerine de sahiptir. Bu sayede portalınıza hangi dosya türlerinin eklenebileceğini denetleyebilir, eklenecek dosyaların maksimum boyutlarını ayarlayabilir ya da eklenebilecek dosyaların içeriğindeki kelimeleri belirleyebilirsiniz. Üstelik kullanıcılarınız dosya uzantısını değiştirse dahi FFSSPS dosya başlığını (Header) inceleyerek izin verilmeyen dosyaları engellemeye devam edecektir.  FFSSPS ile ayrıca OpenXML tabanlı ve IRM ( Information Rights Management) ile ek güvenlik altına aldığınız belgelerinizi de koruma altına almanız mümkün olmaktadır. 

FFSSPS ürünü için şu an Hizmet Paketi 1 ve Hizmet Paketi 2 Microsoft tarafından kullanıcıların hizmetine sunulmuş durumda. Eğer bu güncelleştirmeleri sisteminize yüklerseniz Office belgeleri içerisindeki Non-ASCII karakterlerin denetlenebilmesi, 11 farklı dilde hazır keyword?ler (Ne yazık ki Türkçe yok.) ve FFSSPS?yi Windows Server 2008 üzerinde çalıştırabilme olanaklarına kavuşuyoruz.

FFSSPS ürünü ICSA Labs tarafından SharePoint sunucuları için sertifikalandırılmış ilk anti virüs çözümüdür. ICSA, dünya çapında bilgi güvenliği standartlarını belirleyen ve güvenlik yazılımlarını sertifikalandıran bir kurumdur. ICSA güvenlik yazılımlarını, virüs tespit edebilme ve temizleyebilme, yönetimsel kolaylık, raporlama, benchmark gibi çeşitli standartlara göre değerlendirmektedir. ICSA ve FFSSPS ürünüyle ilgili incelemeleri daha ayrıntılı bir şekilde görmek isterseniz http://www.icsalabs.com adresini ziyaret edebilirsiniz.

Güvenli Yayınlama Çözümü: Internet Security and Acceleration Server 2006 (ISA 2006)

ISA Server 2006 Microsoft?un en fazla kullanılan güvenlik yazılımlarından biridir. Temelde iç ağınızı internetten gelecek tehlikelere karşı koruyacak bir güvenlik duvarı olarak kullanılırken, ayrıca iç ağınızdaki kullanıcıların internet erişimlerini kullanıcı tabanlı olarak denetleyebileceğiniz bir üründür. ISA Server 2006?yı şubeleriniz arasında bir ağ geçidi olarak yapılandırabilir ve sihirbaz temelli yapılandırmasıyla çok kolayca yönetebilirsiniz. Peki, ISA Server 2006 MOSS 2007 için ne gibi güvenlik imkânları sağlamaktadır?

ISA Server 2006 içerisinde kolayca ve güvenlice MOSS 2007 web portalınızı internette yayınlayabileceğiniz bir sihirbaz bulunmaktadır. Böylece ISA Server 2006?nin ön kimlik doğrulama özelliğinden faydalanarak portalınıza internetten erişmek isteyen kişileri daha fiziksel olarak portalınıza ulaşmadan en uç noktada durdurabilir ve kimlik doğrulama işleminden sonra portalınızı kullanmalarına izin verebilirsiniz.  Ayrıca istenirse MOSS 2007 web portalınıza erişecek kullanıcıların birden fazla (Multi Factor) kimlik doğrulama işlemine tabi tutulmasını sağlayabilir ve daha gelişkin bir kimlik yönetimi uygulayabilirsiniz.

ISA Server 2006 ayrıca ön bellekleme (Caching) özelliğine sahip bir yazılım olduğu için kullanıcılarınızın web portalınıza yapmış olduğu istekler uygun olduğu durumlarda ön bellek üzerinden kullanıcıya iletilecek ve bu noktada belirgin bir performans/verim artışı gözlenecektir.

ISA Server 2006 için Microsoft şu anda Hizmet Paketi 1 güncelleştirmesini yayınladı. Bu güncelleştirmeyi yükleyerek ISA Server üzerinde yaptığınız yapılandırma değişikliklerini kayıt edebileceğiniz Configuration Change Tracking, oluşturduğunuz kuralları uygulamadan önce test edebileceğiniz Test Button , ISA Server üzerinden akan trafiği inceleyebileceğiniz Traffic Simulator gibi yeni özelliklere de sahip olabilirsiniz.

Kullanıcılarınız ne kadar güvenilir?: Intelligent Application Gateway 2007 (IAG 2007)

İşte şimdi çok farklı bir Microsoft ürünü ile karşı karşıyayız çünkü bu ürün bir yazılım değil donanım. IAG 2007 Microsoft tarafından sunulmuş bir appliance. IAG 2007 ile Microsoft olan ya da olmayan birçok uygulamayı SSL tabanlı olarak internet üzerinde bir web portalı üzerinde yayınlayabilirsiniz. Kullanıcılarınız sadece bir web tarayıcısına sahiptir ve kullanıcı adı parola ikilisini portal üzerinde doğrulattıktan sonra paylaştırmış olduğunuz tüm uygulamalara tek bir internet sayfası üzerinden ulaşabilirler. (şekil 3)

Şekil 3

Aynı ISA Server 2006 kullanırken olduğu gibi IAG 2007?de de kimlik doğrulama, SSL, Çoklu kimlik doğrulama (Multi Factor) güvenlik özelliklerine sahibiz ama nedir IAG 2007?yi bizler için farklı kılan?

İç ağınızı düşünelim. Active Directory ya da benzeri bir dizin hizmeti kullanıyor olabilirsiniz, kullanıcılarınızı güvenlik ilkeleri ile kısıtlamış olabilirsiniz. Merkezi bir anti virüs yazılımınız ve bir güvenlik duvarınızda vardır. Hatta Windows Server 2008 ile beraber gelen NAP (Network Access Protection) özelliği ile istemci bilgisayarlarınızın sağlık durumlarını dahi denetliyor olabilirsiniz. Peki ya şirket dışındaki bilgisayarlar ve ağlar? Bunları nasıl denetleyebiliriz? Internet kafeden MOSS 2007 portalınıza bağlanacak bir kullanıcının oturduğu bilgisayarda keylogger olup olmadığını bilebilir misiniz?

İşte bu noktada IAG 2007 devreye giriyor. IAG 2007 üzerinde oluşturduğunuz portala, ki buna Trunk deniliyor, kullanıcılarınızın erişebilmeleri için bir ActiveX bileşeni yüklemeleri gerekiyor. Bu bileşenle istemcileriniz üzerinde çeşitli güvenlik denetlemeleri yapmanız mümkün hale gelmektedir. Örneğin IAG 2007 portalınızı kullanmak isteyen kullanıcılarınızın bağlantı yaptığı bilgisayarda anti virüs programı olup olmadığını denetleyebilir, var olan anti virüs yazılımının açık ya da kapalı olup olmadığını belirleyebilir, Windows güncellemelerinin yapılıp yapılmadığını kontrol edebilir ve sizin belirlediğiniz standartlara uygun olmayan istemci bilgisayarların sisteminizin tamamına ya da sadece belirli bir parçasına erişmelerini engelleyebilir ya da izin verebilirsiniz. (Şekil 4)

 Şekil 4

 IAG 2007?nin bu noktada en güçlü ve en esnek tarafı içerisinde hem kullanmış olduğunuz Microsoft olsun ya da olmasın birçok endüstri standardı uygulama için kullanıma hazır yapılandırılmış güvenlik ayarları bulundurması hem de istemci bilgisayarlarını denetleyebileceğiniz birçok farklı güvenlik ilkesi barındırmasıdır. Örneğin, kurumunuzda SAP uygulamaları, Microsoft CRM, Oracle ya da SQL veritabanı, Domino sunucuları ve benzeri uygulamalarınız var. Artık bunlar için güvenlik risklerini çıkartmak, analiz etmek, kullanıcılardan geri bildirim almak zorunda değilsiniz çünkü IAG 2007 tüm bu uygulamalar ve daha fazlası için hali hazırda tanımlanmış güvenlik ayarlarına sahip ve bunların hepsi isteğinize göre özelleştirilebilir. Sizin tek yapmanız gereken hangi uygulamayı yayınlayacağınıza karar vermek, bırakın gerisini IAG 2007 yapsın. (Şekil 5)

 (Şekil 5)

IAG 2007 ile bahsetmek istediğim bir önemli özellik ise Attachment Wiper (Eklenti Silici). Bu özellikle kullanıcılarınızın oturum sırasında girdiği bilgiler, açtığı belgeler ve istemci bilgisayara kaydedilen geçici dosyalar oturum ya da web tarayıcısı kapatıldığında otomatik olarak silinmekte ve istemci bilgisayarda hiçbir iz bırakılmamaktadır. Böylece gözlerden kaçan zararlı bir yazılım internet dolaşımı sonrasında istemci bilgisayarlarda arda kalan artıkları inceleyerek belgelerinize, oturum bilgilerinize, sunucu bilgilerinize ulaşamayacaktır.

IAG 2007 sihirbaz tabanlı bir yapıya sahiptir ve yönetimi oldukça basittir, belge yükleme ve indirmeleri engellenebilmekte ve ek bir güvenlik katmanı sağlanmaktadır. IAG 2007 için şu an Hizmet Paketi 1 ve Hizmet Paketi 2 güncelleştirmeleri yüklenebilir durumda. Bu paketleri yükleyerek Windows Vista işletim sistemlerinin denetlenebilmesi, Windows olmayan işletim sistemleri ve Inernet Explorer dışındaki diğer web tarayıcılarının denetlenebilmesi gibi bir çok özelliğe de sahip olabilirsiniz. IAG 2007 için yazımın başında bir donanım ürünü olduğunu söylemiştim, şimdi Windows Server 2008 kullanıcıları için bir müjde vermek istiyorum. IAG 2007 Hizmet Paketi 2 ile beraber isterseniz artık IAG 2007?yi Hyper-V üzerinde çalıştırabileceksiniz ve sanallaştırma dünyasının tüm gücünü IAG 2007 özellikleriyle birleştirip çok daha güvenli, çok daha performanslı ve kolay yönetilebilir bir yapıya kavuşabileceksiniz.

Hangi ürün benim için daha uygun?

Bu sorunun cevabını vermek tabii ki oldukça güçtür. Anlatmış olduğum ürünler farklı senaryolar altında çalışan, farklı güvenlik özellikleri getiren ve birbirlerini tamamlayan ürünlerdir. En ideal senaryoda üç ürünü de ağımızda bulundurmak en olumlu sonucu verecektir. Bahsedilen ürünlerin özellikleri, kapasiteleri ve yetenekleri tabii ki buradan genel olarak anlatmaya çalıştıklarımla sınırlı değildir ancak her bir ürünün incelenmesi dahi başlı başına bir konudur. Bu sebeple sizlere bu ürünlerle ilgili ayrıntılı bilgi edinebileceğiniz çevrim içi kaynakları da vermek istiyorum.

Forefront Security for SharePoint http://www.microsoft.com/forefront/sharepoint/en/us/default.aspx

Internet Security & Acceleration (ISA) Server

http://www.microsoft.com/isa    

Intelligent Application Gateway (IAG)

http://www.microsoft.com/iag  

Forefront Server Security Blog

http://blogs.technet.com/FSS/  

TechNet Forefront Page

http://www.microsoft.com/technet/security/forefront

Bu sayfalarda ürünlerle ilgili daha ayrıntılı teknik detaylara ulaşabilir, örnek kullanım senaryolarını inceleyebilir, ürünlerin deneme sürümlerini indirip bir test ortamında kendinizde daha ayrıntılı olarak inceleyebilirsiniz. Ayrıca bahsi geçen ürünlerin kullanıma hazır Virtual PC üzerinde sanal laboratuarlarını indirebilir, kurulum ve kullanım yönergelerini takip ederek ürünler hakkında birçok özelliği keşfedebilirsiniz. Hangi ürünü kullanırsanız kullanın artık bir şeyden emin olun, SharePoint ortamınız ve belgeleriniz Forefront güvenlik ailesiyle artık çok daha güvenli.