Internet

реклама
Добро пожаловать, или
Посторонним в…
Алексей Голдбергс
Microsoft
Задача
Предоставить доступ к ресурсам сотрудникам
организации и бизнес-партнерам
Кто они?
Откуда они?
Какие функции
приложений им
доступны?
Какие
приложения им
доступны?
Решение #1: IPSec VPN
Внешний
Web-сервер
Exchange
Внутренний
Web-сервер
DMZ
Пользователь
Внутренняя
сеть
Internet
SharePoint
Active
Безопасная аутентификация
Directory
Карантин
Доступ ко всем приложениям
Доступ ко всем приложениям
Предустановленный VPN-клиент
Требуется вмешательство пользователя
Часто не работает
Решение #2: Reverse proxy
Внешний
Web-сервер
Exchange
Внутренний
Web-сервер
DMZ
Пользователь
Внутренняя
сеть
Internet
SharePoint
Active
Directory
Безопасная аутентификация
Только Web-приложения
Источник утечки данных
Решение #3:
RemoteApp
Снижение путаницы среди пользователей
Ассоциация типов файлов с приложениями на
сервере
Распространение приложений через GPO или
SCCM (SMS)
App-V
Приложения следуют за пользователем
Позволяет избежать конфликтов приложений
Remote Desktop Gateway
Нет необходимости делать «дыры» в межсетевом
экране
Работа RDP поверх HTTPS
Возможность размещения TS между несколькими
защитными экранами используя только 443 порт
Как это работает
Internet
Туннелирование RDP через
HTTPS
DMZ
Разбор пакетов RDP
и HTTPS
Корпоративная
сеть
RDP-трафик передается в
службы терминалов
Службы
терминалов
Internet
Мобильный
сотрудник
Шлюз служб
терминалов
NPS
Карантин
Требуется вмешательство пользователя
Контроллер
домена
Active Directory
Решение #4:
Доступ к любым приложениям через SSL VPN
Web-приложения
Клиент/Серверные приложения
Доступ к файловым ресурсам
Специфические приложения (RDS, Citrix, Lotus, SAP, CRM и т.д.)
Доступ как для управляемых, так и для
неуправляемых клиентских систем
Автоматическое определение состояния системы
Ограничения доступа на основе соответствия политикам
Очистка кэша и вложений, блокировка загрузки файлов,
таймауты
Единая точка входа
SSO с множеством служб каталога, протоколов и форматов
Полностью настраиваемый внешний вид портала и
пользовательского интерфейса
+
Аутентификация
• Многофакторная
аутентификация:
смарт-карты,
токены, OTP, RSA
SecureID и т.д.
• Единый вход (SSO)
Безопасность
• Гранулированный
доступ на основе
состояния
безопасности
конечно точки
Удобство
использования
• Единая точка
доступа ко всем
опубликованным
приложениям
Преимущества от
внедрения
• Отказоустойчивость
и балансировка
нагрузки
• Масштабируемость
Архитектура Forefront UAG
Корпоративная сеть
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Мобильные
устройства
Интернеткиоски
Layer3 VPN
Internet
HTTPS (443)
Terminal /
Remote
Desktop
Services
Не-web
Бизнес-партнеры
AD, ADFS,
RADIUS, LDAP….
NPS, ILM
Мобильные сотрудники
+
+
Решение #5:
Топология DirectAccess
Устройства с IPv6
Устройства с IPv4
Управление
десктопами
Поддержка IPv4
через трансляцию
6to4 или NAT-PT
IPv6 с IPSec
AD Group Policy,
NAP, обновления
Прямое
подключение к
серверам с IPv6
Трансляция IPv6
Сервер
DirectAccess
Аутентификация и
шифрование IPSec
Прозрачный
доступ к
Клиенты
корпоративным
полностью
ресурсам
без VPN
управляемы
Internet
Различные
сетевые
протоколы
Windows 7
Client
Forefront UAG и DirectAccess
Доступ к серверам с поддержкой только IPv4
Доступ для старых версий и не-Windows платформ
Масштабируемость и утравляемость
Простота внедрения и администрирования
Надежная защита периметра
Всегда включен
IPv6
IPv6
IPv4
IPv6
или
IPv4
Архитектура Forefront UAG + DA
Корпоративная сеть
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Мобильные
устройства
Интернеткиоски
Layer3 VPN
Internet
HTTPS (443)
DirectAccess
Terminal /
Remote
Desktop
Services
Не-web
Бизнес-партнеры
AD, ADFS,
RADIUS, LDAP….
NPS, ILM
Мобильные сотрудники
График выхода
Release Candidate 0 (RC0) доступен для
скачивания
Release Candidate 1 (RC1) станет доступен в
ближайшие несколько недель
RTM: До конца 2009 года
Вирус H1N1
+
Microsoft Платформа 2010
http://msplatforma.ru
Выводы
У Microsoft есть все, чтобы сделать вашу
жизнь безопасной, работу эффективной, а
отдых приятным
Microsoft Платформа 2010
http://msplatforma.ru
Cсылки и ресурсы
Дополнительные сессии
FF202: Новые возможности защиты системы обмена
сообщениями (13:00-14:00, Красный Конгресс-зал)
W7203: DirectAccess - безопасный прозрачный доступ к
корпоративной сети (13:00-14:00, Синий Конгресс-зал)
FF204: На страже границы (16:00-17:00, Красный Конгрессзал)
Блоги
http://blogs.technet.com/securityrus
http://blogs.technet.com/edgeaccessblog
Продуктовые страницы
UAG http://www.microsoft.com/uag/
DirectAccess http://www.directaccess.com
Microsoft Платформа 2010
http://msplatforma.ru
Q&A
Microsoft Платформа 2010
http://msplatforma.ru
Скачать