Forefront Unified Access Gateway
Emanuele Bianchi
Security Technology Specialist
Agenda



Forefront Edge Security
Introduzione a UAG
Pubblicazione sicura





Accesso alla rete



Controllo End Point
Autenticazione/Autorizzazione
Applicazioni Web
Applicazioni Client-Server
VPN SSL
Direct Access
Risorse
Forefront Edge Security
TMG & UAG
Le soluzioni Forefront Edge Security and Access garantiscono elevati
livelli di protezione perimetrale e accesso alle infrastrutture IT
aziendali attraverso policy di accesso granulari e application-centric.
Protezione
Accesso
Introduzione a UAG
Unified Access Gateway
Unified
"Fornire ai
dipendenti,
partner e clienti
un accesso
sicuro a qualsiasi
applicazione o
risorsa, da
qualsiasi
dispositivo su
qualsiasi rete"
• Consolidare le infrastrutture di accesso remoto e la
gestione, garantendo l'accesso a più applicazioni e risorse.
Secure
• Proteggere le risorse IT attraverso un controllo granulare
integrato nelle politiche di accesso che regolano l’accesso
a dati sensibili sulla base dell’identità dell’utente e lo stato
degli endpoint.
Anywhere
• Garantisce in modo semplice e sicuro l'accesso remoto da
qualsiasi posizione o dispositivo, superando i limiti di
gestione e di connettività delle soluzioni precedenti.
Architettura soluzione
Data Center / Corporate Network
Exchange
CRM
SharePoint
IIS based
IBM, SAP, Oracle
Mobile
Home / Friend /
Kiosk
Layer3 VPN
Internet
HTTPS (443)
DirectAccess
Terminal /
Remote Desktop
Services
Non web
Business Partners /
Sub-Contractors
Employees Managed Machines
AD, ADFS,
RADIUS, LDAP….
NPS, ILM
UAG Stack
Accesso Applicazioni
SSL VPN
Tunneling
Application
Intelligence
End Point
Detection
Differenti tipologie
di tunnel per
garantire l’accesso
ad applicazioni
client server
Moduli di
intelligenza
applicativa per
ottimizzare
l’accesso ad
applicazioni
Polici per il
controllo dello
stato degli end
point
Reverse Proxy
Motore
intelligente di
riscrittura e
manipolazione
delle URL per
semplificare la
pubblicazione
Policy e Sicurezza
Gateway Consolidato
TS Gateway, ADFS Proxy,
RRAS
Gestione
Configurazione guidata per
implementare in modo
semplice gli scenari principali e
applicare le politiche di
controllo granulari.
Monitoraggio web based e
centralizzato degli array.
Pubblicazione sicura
Portale
Autenticazione/Autorizzazione

Supporto nativo per
differenti repository
di autenticazione:





ACE server
Netscape LDAP
NT Domain
Notes Directory
…..
Autenticazione/Autorizzazione

Supporto per scenari complessi





Separazione sistemi di Autenticazione &
Autorizzazione


Due fattori (OTP, SSL, PKI/Smartcard, …)
RADIUS (OTP, altri 2FA), TACACS+
Active Directory (nativo), AD AM, LDAP…
Combinazioni
Gruppi da AD,
autenticazione con 2FA
Estensibile
Profilazione dispositivi





Identificazione macchine
gestite e non gestiste
Windows, Mac, Linux
Controlli con logica UAG
Controlli basati su NAP
Controlli effettuati:
Personal Firewall
 Anti-virus, Anti-spyware
 Desktop Search engines
 Host IDS
 …

Processo di autorizzazione finale

ACLs




Utilizzo di più repository
Access/View/Deny ACEs
Definizione dinamica in base allo stato dell‘end point
Granularità delle policy:


Tutta l‘applicazione
Singole aree all‘interno dell‘applicazione



Upload, Download
„Zone Ristrette“
„Speciali“
Login al
Repository
Valutazione
ACL
Policy di accesso
definitiva
all‘applicazione
Valutazione
Endpoint
Policy
Web Application Publishing





Reverse Proxy con Web Application Firewall integrato
Pubblicazione di SharePoint semplificata basata sulla
tecnologia Alternate Access Mapping (AAM)
Publicazione di Exchange semplificata
 Outlook Web Access, ActiveSync, Outlook Anywhere
 Autneticazione Basic e basata su Certificati per Active
Sync
 Supporto per Exchange 2010
Supporto esteso per applicazioni terze parti
Bilanciamento integrato per le farm di server con
applicazioni web
Pubblicazione applicazioni Client/Server


Pubblicazione di applicazioni Client/server
tramite tecnologia di socket/port forwarding
Supporto per un numero elevato di
applicazioni:


telnet, ssh, ftp, sap gui, 3270, etc
Remote desktop publishing
Stretta integrazione con Win2008 TS Gateway
 Controllo granulare

Accesso alla rete
VPN SSL





Accesso completo alla rete
Tecnologie differenti in base al SO:
 Network Connector
 SSTP
Integrato nel portale
Nessuna componente da preconfigurare lato client
Supera i limiti delle vpn basate su altra tecnologia:
 Firewall rules
 NAT, Proxy
VPN SSL



Split tunnel
Non Split tunnel
IP provisioning
DHCP
 DHCP Relay


Filtering a livello
network
Direct Access
UAG & Direct Access
Home / Friend /
Kiosk
•Exchange
•SharePoint
•MS LOB
Mobile
Business Partners /
Sub - Contractors
SAP
Non windows LOB
UAG+DA
Internet
File Servers
Non web
IPv6 (Tunneled)
SMS
SCOM
Client Management
Group Policy
Dipendente con client Win7 gestito
Laptop/desktop (Internet / home / hotel /
altra rete aziendale)
(Nessun componente UAG sul pc)
Internet Network
• Singola macchina/ Array
• DAS + NAT-PT / DNS-ALG
Machine + UAG
AD
Trusted AD
NPS
Corporate Network
Tecnologia DA


La connettività al gateway garantita da IPv6 e Ipsec, sfruttando
protocolli di transizione IP v6-v4 (6to4, Teredo, IP-HTTPS)
Le risorse aziendali accessibili grazie a protocolli di traslazione
(NAT64, DNS64)
Domain
Controllers,
DNS, NPS,
Management
Internet
IPv6 Transition Technologies
Infrastructure Tunnel
Intranet Tunnel
Client
Machine
UAG
Rest of the
machines in
corporate
network
Benefici
Garantisce
Transizione
• Tecnologie di
transizione incluse
in un’unica
box(incl. NAT-PT)
• Supporto per
accesso alla rete
anche con cliente
non Windows 7
tramite tecnologie
di SSL VPN
Migliore gestione
• Singola console per
la gestione di
differenti metodi di
accesso
• Gestione unificata
di molteplici nodi
di un array
• Gestione delle
policy DA migliore
Deployment
semplificato
• Deployment basato
su wizard
• Configurazione di
cluster semplificata
grazie alla gestione
integrata dell’NLB
• Appliance
experience:
integrato e
hardenizzato
Risorse
Risorse

Forefront Unified Access Gateway 2010
http://www.microsoft.com/forefront/unified-access-gateway/en/us/default.aspx

Versione di valutazione
http://technet.microsoft.com/en-gb/evalcenter/dd183100.aspx

Risorse tecniche
http://technet.microsoft.com/en-us/library/dd861463.aspx

Blog del Product Team
http://blogs.technet.com/edgeaccessblog/
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Scarica

Client Machine UAG