Добро пожаловать, или Посторонним в… Алексей Голдбергс Microsoft Задача Предоставить доступ к ресурсам сотрудникам организации и бизнес-партнерам Кто они? Откуда они? Какие функции приложений им доступны? Какие приложения им доступны? Решение #1: IPSec VPN Внешний Web-сервер Exchange Внутренний Web-сервер DMZ Пользователь Внутренняя сеть Internet SharePoint Active Безопасная аутентификация Directory Карантин Доступ ко всем приложениям Доступ ко всем приложениям Предустановленный VPN-клиент Требуется вмешательство пользователя Часто не работает Решение #2: Reverse proxy Внешний Web-сервер Exchange Внутренний Web-сервер DMZ Пользователь Внутренняя сеть Internet SharePoint Active Directory Безопасная аутентификация Только Web-приложения Источник утечки данных Решение #3: RemoteApp Снижение путаницы среди пользователей Ассоциация типов файлов с приложениями на сервере Распространение приложений через GPO или SCCM (SMS) App-V Приложения следуют за пользователем Позволяет избежать конфликтов приложений Remote Desktop Gateway Нет необходимости делать «дыры» в межсетевом экране Работа RDP поверх HTTPS Возможность размещения TS между несколькими защитными экранами используя только 443 порт Как это работает Internet Туннелирование RDP через HTTPS DMZ Разбор пакетов RDP и HTTPS Корпоративная сеть RDP-трафик передается в службы терминалов Службы терминалов Internet Мобильный сотрудник Шлюз служб терминалов NPS Карантин Требуется вмешательство пользователя Контроллер домена Active Directory Решение #4: Доступ к любым приложениям через SSL VPN Web-приложения Клиент/Серверные приложения Доступ к файловым ресурсам Специфические приложения (RDS, Citrix, Lotus, SAP, CRM и т.д.) Доступ как для управляемых, так и для неуправляемых клиентских систем Автоматическое определение состояния системы Ограничения доступа на основе соответствия политикам Очистка кэша и вложений, блокировка загрузки файлов, таймауты Единая точка входа SSO с множеством служб каталога, протоколов и форматов Полностью настраиваемый внешний вид портала и пользовательского интерфейса + Аутентификация • Многофакторная аутентификация: смарт-карты, токены, OTP, RSA SecureID и т.д. • Единый вход (SSO) Безопасность • Гранулированный доступ на основе состояния безопасности конечно точки Удобство использования • Единая точка доступа ко всем опубликованным приложениям Преимущества от внедрения • Отказоустойчивость и балансировка нагрузки • Масштабируемость Архитектура Forefront UAG Корпоративная сеть Exchange CRM SharePoint IIS based IBM, SAP, Oracle Мобильные устройства Интернеткиоски Layer3 VPN Internet HTTPS (443) Terminal / Remote Desktop Services Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники + + Решение #5: Топология DirectAccess Устройства с IPv6 Устройства с IPv4 Управление десктопами Поддержка IPv4 через трансляцию 6to4 или NAT-PT IPv6 с IPSec AD Group Policy, NAP, обновления Прямое подключение к серверам с IPv6 Трансляция IPv6 Сервер DirectAccess Аутентификация и шифрование IPSec Прозрачный доступ к Клиенты корпоративным полностью ресурсам без VPN управляемы Internet Различные сетевые протоколы Windows 7 Client Forefront UAG и DirectAccess Доступ к серверам с поддержкой только IPv4 Доступ для старых версий и не-Windows платформ Масштабируемость и утравляемость Простота внедрения и администрирования Надежная защита периметра Всегда включен IPv6 IPv6 IPv4 IPv6 или IPv4 Архитектура Forefront UAG + DA Корпоративная сеть Exchange CRM SharePoint IIS based IBM, SAP, Oracle Мобильные устройства Интернеткиоски Layer3 VPN Internet HTTPS (443) DirectAccess Terminal / Remote Desktop Services Не-web Бизнес-партнеры AD, ADFS, RADIUS, LDAP…. NPS, ILM Мобильные сотрудники График выхода Release Candidate 0 (RC0) доступен для скачивания Release Candidate 1 (RC1) станет доступен в ближайшие несколько недель RTM: До конца 2009 года Вирус H1N1 + Microsoft Платформа 2010 http://msplatforma.ru Выводы У Microsoft есть все, чтобы сделать вашу жизнь безопасной, работу эффективной, а отдых приятным Microsoft Платформа 2010 http://msplatforma.ru Cсылки и ресурсы Дополнительные сессии FF202: Новые возможности защиты системы обмена сообщениями (13:00-14:00, Красный Конгресс-зал) W7203: DirectAccess - безопасный прозрачный доступ к корпоративной сети (13:00-14:00, Синий Конгресс-зал) FF204: На страже границы (16:00-17:00, Красный Конгрессзал) Блоги http://blogs.technet.com/securityrus http://blogs.technet.com/edgeaccessblog Продуктовые страницы UAG http://www.microsoft.com/uag/ DirectAccess http://www.directaccess.com Microsoft Платформа 2010 http://msplatforma.ru Q&A Microsoft Платформа 2010 http://msplatforma.ru