Forefront Unified Access Gateway Emanuele Bianchi Security Technology Specialist Agenda Forefront Edge Security Introduzione a UAG Pubblicazione sicura Accesso alla rete Controllo End Point Autenticazione/Autorizzazione Applicazioni Web Applicazioni Client-Server VPN SSL Direct Access Risorse Forefront Edge Security TMG & UAG Le soluzioni Forefront Edge Security and Access garantiscono elevati livelli di protezione perimetrale e accesso alle infrastrutture IT aziendali attraverso policy di accesso granulari e application-centric. Protezione Accesso Introduzione a UAG Unified Access Gateway Unified "Fornire ai dipendenti, partner e clienti un accesso sicuro a qualsiasi applicazione o risorsa, da qualsiasi dispositivo su qualsiasi rete" • Consolidare le infrastrutture di accesso remoto e la gestione, garantendo l'accesso a più applicazioni e risorse. Secure • Proteggere le risorse IT attraverso un controllo granulare integrato nelle politiche di accesso che regolano l’accesso a dati sensibili sulla base dell’identità dell’utente e lo stato degli endpoint. Anywhere • Garantisce in modo semplice e sicuro l'accesso remoto da qualsiasi posizione o dispositivo, superando i limiti di gestione e di connettività delle soluzioni precedenti. Architettura soluzione Data Center / Corporate Network Exchange CRM SharePoint IIS based IBM, SAP, Oracle Mobile Home / Friend / Kiosk Layer3 VPN Internet HTTPS (443) DirectAccess Terminal / Remote Desktop Services Non web Business Partners / Sub-Contractors Employees Managed Machines AD, ADFS, RADIUS, LDAP…. NPS, ILM UAG Stack Accesso Applicazioni SSL VPN Tunneling Application Intelligence End Point Detection Differenti tipologie di tunnel per garantire l’accesso ad applicazioni client server Moduli di intelligenza applicativa per ottimizzare l’accesso ad applicazioni Polici per il controllo dello stato degli end point Reverse Proxy Motore intelligente di riscrittura e manipolazione delle URL per semplificare la pubblicazione Policy e Sicurezza Gateway Consolidato TS Gateway, ADFS Proxy, RRAS Gestione Configurazione guidata per implementare in modo semplice gli scenari principali e applicare le politiche di controllo granulari. Monitoraggio web based e centralizzato degli array. Pubblicazione sicura Portale Autenticazione/Autorizzazione Supporto nativo per differenti repository di autenticazione: ACE server Netscape LDAP NT Domain Notes Directory ….. Autenticazione/Autorizzazione Supporto per scenari complessi Separazione sistemi di Autenticazione & Autorizzazione Due fattori (OTP, SSL, PKI/Smartcard, …) RADIUS (OTP, altri 2FA), TACACS+ Active Directory (nativo), AD AM, LDAP… Combinazioni Gruppi da AD, autenticazione con 2FA Estensibile Profilazione dispositivi Identificazione macchine gestite e non gestiste Windows, Mac, Linux Controlli con logica UAG Controlli basati su NAP Controlli effettuati: Personal Firewall Anti-virus, Anti-spyware Desktop Search engines Host IDS … Processo di autorizzazione finale ACLs Utilizzo di più repository Access/View/Deny ACEs Definizione dinamica in base allo stato dell‘end point Granularità delle policy: Tutta l‘applicazione Singole aree all‘interno dell‘applicazione Upload, Download „Zone Ristrette“ „Speciali“ Login al Repository Valutazione ACL Policy di accesso definitiva all‘applicazione Valutazione Endpoint Policy Web Application Publishing Reverse Proxy con Web Application Firewall integrato Pubblicazione di SharePoint semplificata basata sulla tecnologia Alternate Access Mapping (AAM) Publicazione di Exchange semplificata Outlook Web Access, ActiveSync, Outlook Anywhere Autneticazione Basic e basata su Certificati per Active Sync Supporto per Exchange 2010 Supporto esteso per applicazioni terze parti Bilanciamento integrato per le farm di server con applicazioni web Pubblicazione applicazioni Client/Server Pubblicazione di applicazioni Client/server tramite tecnologia di socket/port forwarding Supporto per un numero elevato di applicazioni: telnet, ssh, ftp, sap gui, 3270, etc Remote desktop publishing Stretta integrazione con Win2008 TS Gateway Controllo granulare Accesso alla rete VPN SSL Accesso completo alla rete Tecnologie differenti in base al SO: Network Connector SSTP Integrato nel portale Nessuna componente da preconfigurare lato client Supera i limiti delle vpn basate su altra tecnologia: Firewall rules NAT, Proxy VPN SSL Split tunnel Non Split tunnel IP provisioning DHCP DHCP Relay Filtering a livello network Direct Access UAG & Direct Access Home / Friend / Kiosk •Exchange •SharePoint •MS LOB Mobile Business Partners / Sub - Contractors SAP Non windows LOB UAG+DA Internet File Servers Non web IPv6 (Tunneled) SMS SCOM Client Management Group Policy Dipendente con client Win7 gestito Laptop/desktop (Internet / home / hotel / altra rete aziendale) (Nessun componente UAG sul pc) Internet Network • Singola macchina/ Array • DAS + NAT-PT / DNS-ALG Machine + UAG AD Trusted AD NPS Corporate Network Tecnologia DA La connettività al gateway garantita da IPv6 e Ipsec, sfruttando protocolli di transizione IP v6-v4 (6to4, Teredo, IP-HTTPS) Le risorse aziendali accessibili grazie a protocolli di traslazione (NAT64, DNS64) Domain Controllers, DNS, NPS, Management Internet IPv6 Transition Technologies Infrastructure Tunnel Intranet Tunnel Client Machine UAG Rest of the machines in corporate network Benefici Garantisce Transizione • Tecnologie di transizione incluse in un’unica box(incl. NAT-PT) • Supporto per accesso alla rete anche con cliente non Windows 7 tramite tecnologie di SSL VPN Migliore gestione • Singola console per la gestione di differenti metodi di accesso • Gestione unificata di molteplici nodi di un array • Gestione delle policy DA migliore Deployment semplificato • Deployment basato su wizard • Configurazione di cluster semplificata grazie alla gestione integrata dell’NLB • Appliance experience: integrato e hardenizzato Risorse Risorse Forefront Unified Access Gateway 2010 http://www.microsoft.com/forefront/unified-access-gateway/en/us/default.aspx Versione di valutazione http://technet.microsoft.com/en-gb/evalcenter/dd183100.aspx Risorse tecniche http://technet.microsoft.com/en-us/library/dd861463.aspx Blog del Product Team http://blogs.technet.com/edgeaccessblog/ © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.