Добро пожаловать, или Посторонним в…
DESCRIPTION
Добро пожаловать, или Посторонним в…. Алексей Голдбергс. Microsoft. Задача. Предоставить доступ к ресурсам сотрудникам организации и бизнес-партнерам. Кто они?. Откуда они?. Какие приложения им доступны ?. Какие функции приложений им доступны ?. Внутренний Web -сервер. Exchange. - PowerPoint PPT PresentationTRANSCRIPT
Добро пожаловать, или Посторонним в…
Microsoft
Алексей Голдбергс
Задача
Предоставить доступ к ресурсам сотрудникам организации и бизнес-партнерам
Какие приложения им
доступны?
Кто они?Откуда они?
Какие функции приложений им
доступны?
Решение #1: IPSec VPNExchange
Внутренний Web-сервер
SharePoint
Active Directory
Внешний Web-сервер
ПользовательDMZ
Внутренняя сеть
Internet
Безопасная аутентификация
Карантин
Доступ ко всем приложениям
Доступ ко всем приложениям
Предустановленный VPN-клиент
Требуется вмешательство пользователя
Часто не работает
Решение #2: Reverse proxyExchange
Внутренний Web-сервер
SharePoint
Active Directory
Внешний Web-сервер
ПользовательDMZ
Внутренняя сеть
Internet
Безопасная аутентификация
Только Web-приложения
Источник утечки данных
Решение #3:RemoteApp
Снижение путаницы среди пользователей
Ассоциация типов файлов с приложениями на сервере
Распространение приложений через GPO или SCCM (SMS)
App-VПриложения следуют за пользователем
Позволяет избежать конфликтов приложений
Remote Desktop GatewayНет необходимости делать «дыры» в межсетевом экране
Работа RDP поверх HTTPS
Возможность размещения TS между несколькими защитными экранами используя только 443 порт
Вн
ешн
ий
меж
сете
во
й э
кран
Вн
утр
енн
ий
меж
сете
во
й э
кранInternet DMZ
Корпоративная сеть
Мобильный сотрудник
NPS
Контроллер домена
Active Directory
Туннелирование RDP через HTTPS
Разбор пакетов RDP и HTTPS
Службы терминалов
RDP-трафик передается в службы терминалов
Internet
Как это работает
Карантин
Требуется вмешательство пользователя
Шлюз служб терминалов
Решение #4:
Доступ к любым приложениям через SSL VPNWeb-приложенияКлиент/Серверные приложенияДоступ к файловым ресурсамСпецифические приложения (RDS, Citrix, Lotus, SAP, CRM и т.д.)
Доступ как для управляемых, так и для неуправляемых клиентских систем
Автоматическое определение состояния системыОграничения доступа на основе соответствия политикамОчистка кэша и вложений, блокировка загрузки файлов, таймауты
Единая точка входаSSO с множеством служб каталога, протоколов и форматовПолностью настраиваемый внешний вид портала и пользовательского интерфейса
Аутентификация
• Многофакторная аутентификация: смарт-карты, токены, OTP, RSA SecureID и т.д.
• Единый вход (SSO)
Безопасность
• Гранулированный доступ на основе состояния безопасности конечно точки
Удобство использования
• Единая точка доступа ко всем опубликованным приложениям
Преимущества от внедрения
• Отказоустойчивость и балансировка нагрузки
• Масштабируемость
+
Архитектура Forefront UAG
HTTPS (443)
Layer3 VPN
Корпоративная сеть
Бизнес-партнеры AD, ADFS, RADIUS, LDAP….
Интернет-киоски
Мобильные сотрудники
Мобильные устройства
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Terminal / Remote Desktop Services
Не-web
HTTPS / HTTP
NPS, ILM
Internet
+
+
Чего не
хватает?
Всегда включен
Безопасность
Управляемость
Решение #5:
Устройства с IPv6 Устройства с IPv4
СерверDirectAccess
Windows 7 Client
IPv6 с IPSec
Трансляция IPv6
Различные сетевые
протоколы
Топология DirectAccess
Прозрачный доступ к корпоративным
ресурсам без VPN
Клиенты полностью
управляемы
Аутентификация и шифрование IPSec
Прямое подключение к
серверам с IPv6
Поддержка IPv4 через трансляцию 6to4 или NAT-PT
Управлениедесктопами
AD Group Policy, NAP, обновления
Internet
{
Упр
авл
яем
ые
Windows 7
Всегда включен
IPv6
Windows 7
IPv6
IPv4{
PDA
Windows 7 /Windows Vista/
Windows XP
Не-Windows
Неу
прав
лям
ые
IPv6или
IPv4
Forefront UAG и DirectAccess
Доступ к серверам с поддержкой только IPv4
Доступ для старых версий и не-Windows платформ
Масштабируемость и утравляемость
Простота внедрения и администрирования
Надежная защита периметра
Архитектура Forefront UAG + DA
DirectAccess
HTTPS (443)
Layer3 VPN
Корпоративная сеть
Бизнес-партнеры AD, ADFS, RADIUS, LDAP….
Интернет-киоски
Мобильные сотрудники
Мобильные устройства
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Terminal / Remote Desktop Services
Не-web
HTTPS / HTTP
NPS, ILM
Internet
График выхода
RTM: До конца 2009 года
Release Candidate 1 (RC1) станет доступен в ближайшие несколько недель
Release Candidate 0 (RC0) доступен для скачивания
http://msplatforma.ru
Microsoft Платформа 2010
Вирус H1N1 +
http://msplatforma.ru
Microsoft Платформа 2010
Выводы
У Microsoft есть все, чтобы сделать вашу жизнь безопасной, работу эффективной, а
отдых приятным
http://msplatforma.ru
Microsoft Платформа 2010
Cсылки и ресурсы
Дополнительные сессииFF202: Новые возможности защиты системы обмена сообщениями (13:00-14:00, Красный Конгресс-зал)W7203: DirectAccess - безопасный прозрачный доступ к корпоративной сети (13:00-14:00, Синий Конгресс-зал)FF204: На страже границы (16:00-17:00, Красный Конгресс-зал)
Блогиhttp://blogs.technet.com/securityrushttp://blogs.technet.com/edgeaccessblog
Продуктовые страницыUAG http://www.microsoft.com/uag/DirectAccess http://www.directaccess.com
http://msplatforma.ru
Microsoft Платформа 2010
Q&A