Microsoft Forefront. Безопасный доступ к облачным службам

По-прежнему существуют проблемы перехода к облачным вычислениям. Безопасность находится на первом месте списка. При планировании миграции компании в облако необходимо обеспечить непрерывность текущих бизнес-операций. Пользователям необходим постоянный доступ к бизнес-приложениям, которые теперь размещены в облаке, безопасным и высоко доступным образом.

Также существуют и другие проблемы. Что если облако недоступно для всех внутренних клиентов? Теперь, когда моя система электронной почты размещена в облаке, что произойдет при прерывании доступа к Интернету? Поскольку для доступа к облачным службам доступ к Интернету требуется большему числу людей, что необходимо сделать, чтобы гарантировать безопасность и производительность? Это распространенные вопросы при планировании миграции в облако. Ответы формируют будущее развертывание для компании.

Хотя безопасность и доступность — самые большие проблемы компаний, выполняющих миграцию в облако, экономия средств — несомненно, крупнейший движущий стимул. Облачные вычисления могут помочь в достижении экономии средств новыми способами, такими как использование схемы «плата за использование» или уменьшение расходов на центр обработки данных.

Большинству компаний необходима возможность быстрого увеличения или уменьшения масштаба, предоставляя широкие возможности всем устройствам (включая компьютеры, мобильные устройства и обозреватели) и согласуя потребности без ущерба безопасности данных. Forefront Threat Management Gateway (TMG) 2010 может помочь в предоставлении безопасного доступа к облачным службам и средствам повышения производительности, необходимым вам и сообществу пользователей для продолжения работы.

Переход в облако

Для большинства организаций переход в облако начинается с переноса различных бизнес-функций, таких как инструменты повышения производительности. К ним относятся электронная почта, веб-сайт совместной работы в группе, отправка мгновенных сообщений/видеоконференции и приложения создания содержимого. Эти средства повышения производительности — двигатель вашего бизнеса. Они — ядро вашего бизнеса и должны быть всегда доступны, независимо от того, находятся ли пользователи в офисе или работают удаленно из гостиницы или от клиента (см. рис. 1).

Рис. 1. Office 365 — решение облака Майкрософт для повышения производительности бизнеса

Рассмотрим гипотетическую ситуацию с несуществующей компанией под названием Contoso. Проследим действия Contoso при планировании и миграции в облако. Компания планирует перенести все средства повышения производительности в облако. Первая фаза проекта — использование Exchange Online для переноса системы электронной почты в облако для сотрудников в США.

Существует четыре предварительных требования для первой фазы (см. рис. 2).

• На внутренних пользователей не должно влиять отсутствие подключения к Интернету поставщиком услуг Интернета
• Пользователи, использующие систему электронной почты в облаке, должны быть защищены т возможных угроз в Интернете
• Компания может использовать центральную политику безопасности в филиалах
• Пользователям должен быть запрещен доступ к сайтам, не разрешенным политикой безопасности компании

Рис. 2. Четыре основных критерия для первой фазы

Высокая доступность

Forefront TMG 2010 может соответствовать требованиям Contoso для фазы 1 миграции (см. рис. 3). Для обеспечения требований высокой доступности используйте следующие функции Forefront TMG 2010.

• Избыточность ISP. У компании Contoso имеется доступ к Интернету даже при прекращении обслуживания поставщиком услуг Интернета. Для этого необходим другой способ подключения, обычно предоставляемый другим поставщиком услуг Интернета.
• Интегрированная балансировка сетевой нагрузки (NLB). Интеграция NLB с Forefront TMG обеспечивает не только балансировку трафика между узлами NLB, но и переход на другой узел в случае сбоя.

Рис. 3. Использование функций высокой доступности в Forefront TMG 2010

Обеспечение безопасности

Интерактивные службы Exchange включают в себя функции защиты от вирусов и нежелательной почты. Тем не менее, компании Contoso необходимо обеспечить защиту пользователей при посещении сайтов, исходящих от системы электронной почты, поэтому компания использует многоуровневый подход (см. рис. 4).

Рис. 4. Использование функции проверки HTTPS TMG 2010 для защиты локальных ресурсов

Этот многоуровневый подход позволяет использовать возможности облака, одновременно защищая локального клиента от потенциальных угроз, исходящих из Интернета.

• Удаленный пользователь отправляет сообщение электронной почты клиенту в Contoso
• Это сообщение заражено вирусом, и Exchange Online Antivirus очищает его
• В почтовом ящике клиента появляется уведомление о новом сообщении
• Пользователь прочитывает сообщение и замечает ссылку на загрузку последнего отчета с веб-сайта партнера. Конечный пользователь удостоверяется в том, что это ссылка на безопасный сайт (используется HTTPS), и предполагает, что загрузка отчета безопасна.
• Функция проверки HTTPS Forefront TMG анализирует трафик, подтверждает сертификат и передает проверку механизму проверки на вредоносные программы для анализа файла, который пытается загрузить пользователь. Механизм проверки на вредоносные программы определяет, что этот файл заражен, и уведомляет клиента, что файл не может быть открыт, поскольку содержит вирус.

Применение политики

Первая фаза миграции Contoso распространяется только на пользователей в США. Из-за независимости ежедневных операций каждого филиала компании необходимо разрешить филиалам управлять собственным трафиком. Это должно осуществляться с соблюдением правил и политик компании. Для достижения этой цели следует использовать Forefront TMG 2010 со сценарием с множеством массивов и применять политики компании на уровне предприятия (см. рис. 5).

Рис. 5. Обеспечение автономии для всех филиалов, сохраняя применение центральной политики компании

Эта модель предоставляет представление центрального управления для всех массивов предприятия. Она также помогает обеспечивать применение корпоративной политики. При внесении изменений в политику брандмауэра или сетевые правила Forefront TMG обеспечивает соответствие всех существующих клиентских соединений новой политике или правилам. Неразрешенные соединения будут разрываться.

Сохранение производительности

Сотрудники, использующие новую систему электронной почты, должны сохранить прежний уровень производительности, поэтому необходимо минимизировать потенциальные отвлекающие моменты. Также необходимо блокирование доступа пользователей к злоумышленным сайтам в соответствие с политикой компании. Функция фильтрации URL-адресов TMG 2010 использует службу на основе облака под названием Microsoft Reputation Service для категоризации URL-адресов, которые пытается посетить пользователь (см. рис. 6).

Рис. 6. Использование функции фильтрации URL-адресов Forefront TMG 2010 для улучшения работы информационных работников

Процесс работает следующим образом.

• Удаленный пользователь отправляет сообщение электронной почты клиенту в Contoso
• Это сообщение заражено вирусом, и Exchange Online Antivirus очищает его
• В почтовом ящике клиента появляется уведомление о новом сообщении. Клиент прочитывает сообщение и замечает ссылку на новое портфолио партнера, включающее игорный бизнес
• Функция фильтрации URL-адресов Forefront TMG оценивает URL-адрес и запрашивает базу данных Microsoft Reputation Service для проверки того, что данный URL-адрес соответствует категории «азартные игры», что не разрешено политикой компании.
• Forefront TMG блокирует доступ к этому сайту и уведомляет пользователя об этом

Если сотрудник полагает, что этот сайт не должен блокироваться, он может временно посетить веб-сайт и уведомить администратора о неверной классификации.

В сценариях развертывания в облаке могут быть полезны другие функции Forefront TMG. Один из примеров — кэширование. Forefront TMG может кэшировать данные HTTP и HTTPS из облачных приложений. Это экономит пропускную способность и улучшает работу пользователей, снижая задержку для облачных запросов.

Forefront TMG также помогает в выполнении развертываний в облаке благодаря интеграции возможности BranchCache с Windows Server 2008 R2. Чтобы продемонстрировать это, предположим, что вторая фаза миграции Contoso в облако включает Office Web Plus для клиентов в некоторых филиалах (см. рис. 7).

Рис. 7. Использование возможности BranchCache Forefront TMG 2010 для способствования переносу в облако ресурсов, находящихся в филиале

Ниже приводится объяснение того, как возможность BranchCache может способствовать облачным службам филиалов.

• Клиент филиала отправляет запрос локальному продукту Forefront TMG для доступа к Office Web Apps
• Forefront TMG определяет, находятся ли запрашиваемые данные в локальном кэше. Если данных нет в кэше, локальный Forefront TMG отправляет запрос Forefront TMG центрального офиса
• Forefront TMG центрального офиса получает данные из облака и отправляет их подчиненному Forefront TMG в филиале
• Forefront TMG филиала сохраняет данные в локальном КЭШе и отправляет их клиентской рабочей станции, отправившей запрос
• Другая рабочая станция, также находящаяся в филиале, отправляет такой же запрос этих же данных.
• Forefront TMG оценивает запрос, проверяет нахождение данных в кэше и представляет содержание напрямую клиенту.

Как можно видеть, чем больше клиентов используют облачные объекты из облака, тем больше размер кэша. Эти объекты многократно запрашиваются в течение дня. Благодаря тому, что Forefront TMG кэширует эти объекты, компания может сэкономить пропускную способность, увеличивая скорость доступа.

Хотя безопасность остается главной проблемой компаний, готовящихся к переходу в облако, Forefront TMG 2010 может предоставить веб-шлюз безопасности. При решении проблем безопасности можно сосредоточиться на основной причине перехода компании в облако: экономия средств.