Microsoft Forefront. Безопасный доступ к облачным службам

OSzone.net » Microsoft » Семейство Forefront » Microsoft Forefront. Безопасный доступ к облачным службам
Автор: Юрий Диогенес
Иcточник: Журнал TechNet
Опубликована: 02.06.2011

По-прежнему существуют проблемы перехода к облачным вычислениям. Безопасность находится на первом месте списка. При планировании миграции компании в облако необходимо обеспечить непрерывность текущих бизнес-операций. Пользователям необходим постоянный доступ к бизнес-приложениям, которые теперь размещены в облаке, безопасным и высоко доступным образом.

Также существуют и другие проблемы. Что если облако недоступно для всех внутренних клиентов? Теперь, когда моя система электронной почты размещена в облаке, что произойдет при прерывании доступа к Интернету? Поскольку для доступа к облачным службам доступ к Интернету требуется большему числу людей, что необходимо сделать, чтобы гарантировать безопасность и производительность? Это распространенные вопросы при планировании миграции в облако. Ответы формируют будущее развертывание для компании.

Хотя безопасность и доступность — самые большие проблемы компаний, выполняющих миграцию в облако, экономия средств — несомненно, крупнейший движущий стимул. Облачные вычисления могут помочь в достижении экономии средств новыми способами, такими как использование схемы «плата за использование» или уменьшение расходов на центр обработки данных.

Большинству компаний необходима возможность быстрого увеличения или уменьшения масштаба, предоставляя широкие возможности всем устройствам (включая компьютеры, мобильные устройства и обозреватели) и согласуя потребности без ущерба безопасности данных. Forefront Threat Management Gateway (TMG) 2010 может помочь в предоставлении безопасного доступа к облачным службам и средствам повышения производительности, необходимым вам и сообществу пользователей для продолжения работы.

Переход в облако

Для большинства организаций переход в облако начинается с переноса различных бизнес-функций, таких как инструменты повышения производительности. К ним относятся электронная почта, веб-сайт совместной работы в группе, отправка мгновенных сообщений/видеоконференции и приложения создания содержимого. Эти средства повышения производительности — двигатель вашего бизнеса. Они — ядро вашего бизнеса и должны быть всегда доступны, независимо от того, находятся ли пользователи в офисе или работают удаленно из гостиницы или от клиента (см. рис. 1).

*

Рис. 1. Office 365 — решение облака Майкрософт для повышения производительности бизнеса

Рассмотрим гипотетическую ситуацию с несуществующей компанией под названием Contoso. Проследим действия Contoso при планировании и миграции в облако. Компания планирует перенести все средства повышения производительности в облако. Первая фаза проекта — использование Exchange Online для переноса системы электронной почты в облако для сотрудников в США.

Существует четыре предварительных требования для первой фазы (см. рис. 2).

*

Рис. 2. Четыре основных критерия для первой фазы

Высокая доступность

Forefront TMG 2010 может соответствовать требованиям Contoso для фазы 1 миграции (см. рис. 3). Для обеспечения требований высокой доступности используйте следующие функции Forefront TMG 2010.

*

Рис. 3. Использование функций высокой доступности в Forefront TMG 2010

Обеспечение безопасности

Интерактивные службы Exchange включают в себя функции защиты от вирусов и нежелательной почты. Тем не менее, компании Contoso необходимо обеспечить защиту пользователей при посещении сайтов, исходящих от системы электронной почты, поэтому компания использует многоуровневый подход (см. рис. 4).

*

Рис. 4. Использование функции проверки HTTPS TMG 2010 для защиты локальных ресурсов

Этот многоуровневый подход позволяет использовать возможности облака, одновременно защищая локального клиента от потенциальных угроз, исходящих из Интернета.

Применение политики

Первая фаза миграции Contoso распространяется только на пользователей в США. Из-за независимости ежедневных операций каждого филиала компании необходимо разрешить филиалам управлять собственным трафиком. Это должно осуществляться с соблюдением правил и политик компании. Для достижения этой цели следует использовать Forefront TMG 2010 со сценарием с множеством массивов и применять политики компании на уровне предприятия (см. рис. 5).

*

Рис. 5. Обеспечение автономии для всех филиалов, сохраняя применение центральной политики компании

Эта модель предоставляет представление центрального управления для всех массивов предприятия. Она также помогает обеспечивать применение корпоративной политики. При внесении изменений в политику брандмауэра или сетевые правила Forefront TMG обеспечивает соответствие всех существующих клиентских соединений новой политике или правилам. Неразрешенные соединения будут разрываться.

Сохранение производительности

Сотрудники, использующие новую систему электронной почты, должны сохранить прежний уровень производительности, поэтому необходимо минимизировать потенциальные отвлекающие моменты. Также необходимо блокирование доступа пользователей к злоумышленным сайтам в соответствие с политикой компании. Функция фильтрации URL-адресов TMG 2010 использует службу на основе облака под названием Microsoft Reputation Service для категоризации URL-адресов, которые пытается посетить пользователь (см. рис. 6).

*

Рис. 6. Использование функции фильтрации URL-адресов Forefront TMG 2010 для улучшения работы информационных работников

Процесс работает следующим образом.

Если сотрудник полагает, что этот сайт не должен блокироваться, он может временно посетить веб-сайт и уведомить администратора о неверной классификации.

В сценариях развертывания в облаке могут быть полезны другие функции Forefront TMG. Один из примеров — кэширование. Forefront TMG может кэшировать данные HTTP и HTTPS из облачных приложений. Это экономит пропускную способность и улучшает работу пользователей, снижая задержку для облачных запросов.

Forefront TMG также помогает в выполнении развертываний в облаке благодаря интеграции возможности BranchCache с Windows Server 2008 R2. Чтобы продемонстрировать это, предположим, что вторая фаза миграции Contoso в облако включает Office Web Plus для клиентов в некоторых филиалах (см. рис. 7).

*

Рис. 7. Использование возможности BranchCache Forefront TMG 2010 для способствования переносу в облако ресурсов, находящихся в филиале

Ниже приводится объяснение того, как возможность BranchCache может способствовать облачным службам филиалов.

Как можно видеть, чем больше клиентов используют облачные объекты из облака, тем больше размер кэша. Эти объекты многократно запрашиваются в течение дня. Благодаря тому, что Forefront TMG кэширует эти объекты, компания может сэкономить пропускную способность, увеличивая скорость доступа.

Хотя безопасность остается главной проблемой компаний, готовящихся к переходу в облако, Forefront TMG 2010 может предоставить веб-шлюз безопасности. При решении проблем безопасности можно сосредоточиться на основной причине перехода компании в облако: экономия средств.


Ссылка: http://www.oszone.net/15350/Microsoft-Forefront