Microsoft Forefront: Sicherer Zugriff auf Ihre Clouddienste

  • Artikel

Sie können mit Microsoft Forefront Threat Management Gateway 2010 einen sicheren Zugriff auf Clouddienste bereitstellen und gleichzeitig die Geschäftskontinuität wahren.

Yuri Diogenes

Es gibt immer noch Bedenken hinsichtlich einer Migration hin zum Cloudcomputing. Die Sicherheit steht hierbei an erster Stelle. Bei der Planung der Migration Ihres Unternehmens in die Cloud möchten Sie sicherstellen, dass das aktuelle Geschäft nicht unterbrochen wird. Ihre Benutzer benötigen den ununterbrochenen Zugriff auf die Geschäftsanwendungen, die nun als Clouddienste bereitgestellt werden. Diese müssen sicher und hoch verfügbar sein.

Es gibt weitere Bedenken. Was, wenn alle meine internen Clients nicht auf die Cloud zugreifen können? Da mein E-Mail-System nun über die Cloud bereitgestellt wird, was passiert, wenn es eine Störung im Internet gibt? Da mehr Mitarbeiter mit dem Internet verbunden sein müssen, um auf die Clouddienste zugreifen zu können, wie können wir die Sicherheit und Produktivität garantieren? Dies sind häufige Fragen bei der Planung der Migration zur Cloud. Die Antworten werden die zukünftige Entwicklung des Unternehmens beeinflussen.

Während Sicherheit und Verfügbarkeit die größten Bedenken hinsichtlich der Cloud darstellen seitens Unternehmen, sind Kosteneinsparungen mit Sicherheit das wichtigste Motiv. Cloudcomputing kann Ihnen helfen, Kosteneinsparungen auf neue Arten zu erzielen, indem Sie zum Beispiel nur die tatsächliche Nutzung bezahlen oder die Kosten für das Rechenzentrum reduzieren.

Die meisten Unternehmen müssen in der Lage sein, schnell nach oben oder unten zu skalieren, eine komplexe Umgebung für alle Geräte (PCs, Mobilgeräte und Browser) bereitzustellen und diese Anforderungen ohne Beeinträchtigung der Sicherheit der Daten zu erfüllen. Forefront Threat Management Gateway (TMG) 2010 kann Ihnen beim sicheren Zugriff auf die Clouddienste und Produktivitätstools helfen, die Sie und Ihre Benutzer für die Durchführung der geschäftlichen Aufgaben benötigen.

Migration zur Cloud

Für die meisten Unternehmen beginnt die Migration zur Cloud, indem einzelne Geschäftsfunktionen wie zum Beispiel Produktivitätstools migriert werden. Dazu zählen E-Mail-Systeme, Websites für die Zusammenarbeit, Instant-Messaging-Systeme, Videokonferenzsysteme sowie Anwendungen zur Erstellung von Inhalten. Diese Produktivitätstools sind der Motor Ihres Geschäfts. Sie bilden den Kern Ihres Unternehmens und müssen stets verfügbar sein, unabhängig davon, ob sich die Mitarbeiter im Unternehmen befinden oder remote in einem Hotel oder vor Ort bei einem Kunden arbeiten (siehe Abbildung 1).

Figure 1 Office 365 is the Microsoft Cloud solution for business productivity

Abbildung 1 Office 365 ist die Microsoft-Cloudlösung für die Geschäftsproduktivität

Betrachten wir eine hypothetische Situation, in der wir ein fiktionales Unternehmen namens Contoso verwenden. Wir beobachten Contoso bei der Planung und Migrierung zur Cloud. Das Unternehmen plant, alle Produktivitätstools zur Cloud zu migrieren. Die erste Phase des Projekts besteht in der Verwendung von Exchange Online, um für die Mitarbeiter in den USA das E-Mail-System zur Cloud zu migrieren.

Es gibt vier wesentliche Voraussetzungen für diese erste Phase (siehe Abbildung 2):

  • Die internen Benutzer dürfen nicht beeinträchtigt werden, wenn die Internetverbindung des aktuellen Internetdienstanbieters abgeschaltet wird.
  • Benutzer müssen vor möglichen Bedrohungen aus dem Internet geschützt werden, wenn sie auf das E-Mail-System in der Cloud zugreifen.
  • Das Unternehmen muss eine zentrale Sicherheitsrichtlinie für Remotestandorte durchsetzen können.
  • Die Benutzer müssen daran gehindert werden können, auf Websites zuzugreifen, die von der Sicherheitsrichtlinie des Unternehmens nicht gestattet werden.

Figure 2 These four pillars must be in place for the first phase

Abbildung 2 Diese vier Säulen müssen vor Eintritt in die erste Phase vorhanden sein

Hohe Verfügbarkeit

Forefront TMG 2010 kann die Anforderungen von Contoso für Phase 1 der Migration erfüllen (siehe Figure 3). Um die Anforderungen an die hohe Verfügbarkeit zu erfüllen, verwenden Sie die folgenden Forefront TMG 2010-Funktionen:

  • Redundanz in Bezug auf den Internetdienstanbieter: Contoso kann über Internetzugriff verfügen, auch wenn der aktuelle Internetdienstanbieter abgeschaltet ist. Um dies zu erreichen, ist ein alternativer Internetpfad erforderlich, in der Regel über einen anderen Internetdienstanbieter.
  • Integrierter Netzwerklastenausgleich (Network Load Balancing, NLB): Durch die Integration von NLB mit Forefront TMG können Sie nicht nur den Datenverkehr auf die NLB-Knoten verteilen, sondern auch die erfolgreiche Übergabe von einem Knoten zum anderen sicherstellen, sollte ein Knoten ausfallen.

Figure 3 Leveraging the high-availability features in Forefront TMG 2010

Abbildung 3 Nutzen der Funktionen für eine hohe Verfügbarkeit in Forefront TMG 2010

Sicherheit

Exchange Online-Dienste enthalten Funktionen für den Schutz vor Viren und Spam. Dennoch möchte Contoso sicherstellen, dass die Benutzer geschützt sind, wenn sie Websites aufgrund von Links in E-Mails besuchen. Daher verwendet das Unternehmen ein mehrstufiges Verfahren (siehe Abbildung 4).

Figure 4 Leveraging Forefront TMG 2010 HTTPS Inspection feature to protect on-premises resources

Abbildung 4 Nutzen der Forefront TMG 2010-Funktion für die HTTPS-Prüfung zum Schutz lokaler Ressourcen

Dieses mehrstufige Verfahren ermöglicht Ihnen, die Leistungsfähigkeit der Cloud zu nutzen und gleichzeitig die lokalen Clients vor möglichen Bedrohungen aus dem Internet zu schützen:

  • Ein Remotebenutzer sendet eine E-Mail an einen Client bei Contoso.
  • Diese Nachricht ist mit einem Virus infiziert, und Exchange Online Antivirus entfernt den Virus aus der Nachricht.
  • Im Posteingangsfach des Clients wird die Benachrichtigung angezeigt, dass eine neue Nachricht eingegangen ist.
  • Der Benutzer liest diese Nachricht und sieht, dass sie einen Link für den Download des neuesten Berichts von der Website eines Partners enthält. Der Endbenutzer erkennt, dass es sich um einen Link zu einer sicheren Website handelt (HTTPS) und nimmt an, dass das Herunterladen des Berichts sicher ist.
  • Die Forefront TMG-Funktion für die HTTPS-Prüfung analysiert den Datenverkehr, validiert das Zertifikat und übergibt die Prüfung an das Malware-Prüfungsmodul, um die Datei zu analysieren, die der Benutzer herunterladen möchte. Das Malware-Prüfungsmodul erkennt die Datei als infiziert und benachrichtigt den Client, dass die Datei nicht geöffnet werden kann, da sie mit einem Virus infiziert ist.

Richtliniendurchsetzung

Diese erste Phase der Migration von Contoso betrifft ausschließlich Benutzer in den USA. Aufgrund der Autonomie der einzelnen Standorte im Hinblick auf den täglichen Betrieb muss das Unternehmen den lokalen Standorten die Kontrolle über den eigenen Datenverkehr gestatten. Dies muss jedoch unter Beachtung der Unternehmensvorschriften und -richtlinien erfolgen. Um dieses Ziel zu erreichen, verwenden Sie Forefront TMG 2010 mit einem Multiarray-Szenario und setzen Unternehmensrichtlinien auf Unternehmensebene durch (siehe Abbildung 5).

Figure 5 Allowing autonomy to each branch office while maintaining central company policy enforcement

Abbildung 5 Autonomie für die einzelnen Standorte bei Durchsetzung der zentralen Unternehmensrichtlinie

Dieses Modell stellt eine zentrale Verwaltungsansicht für alle Arrays im Unternehmen bereit. Es unterstützt außerdem die Durchsetzung der Unternehmensrichtlinie. Wenn Sie Änderungen für die Firewall oder für Netzwerkregeln durchführen, stellt Forefront TMG sicher, dass alle vorhandenen Clientverbindungen die neue Richtlinie oder die neuen Regeln einhalten. Außerdem werden Verbindungen beendet, die nicht zulässig sind.

Bewahren der Produktivität

Ein Mitarbeiter, der das neue E-Mail-System verwendet, muss sich weiter auf seine Produktivität konzentrieren können. Daher müssen Sie die Zahl der möglichen Ablenkungen minimieren. Sie müssen außerdem Websites, die Malware enthalten, für die Benutzer entsprechend der Unternehmensrichtlinie sperren. Die TMG 2010-Funktion für die Filterung von URLs verwendet einen Clouddienst namens Microsoft Reputation Service, um die URLs zu kategorisieren, auf die die Benutzer zugreifen möchten (siehe Abbildung 6).

Figure 6 Using Forefront TMG 2010 URL Filtering to improve information worker experience

Abbildung 6 Verwenden der Forefront TMG 2010-Funktion für die Filterung von URLs für mehr Sicherheit in der Arbeitsumgebung

So funktioniert der Prozess:

  • Ein Remotebenutzer sendet eine E-Mail an einen Client bei Contoso.
  • Diese Nachricht ist mit einem Virus infiziert, und Exchange Online Antivirus entfernt den Virus aus der Nachricht.
  • Im lokalen Posteingangsfach des Clients wird die Benachrichtigung angezeigt, dass eine neue Nachricht eingegangen ist. Der Benutzer liest diese Nachricht und sieht, dass sie einen Link für den Zugriff auf das neue Portofolio des Partners enthält, darunter eine Glücksspielwebsite.
  • Die Forefront TMG-Funktion für die Filterung von URLs evaluiert die URL und fragt die Microsoft Reputation Service-Datenbank ab, um festzustellen, ob diese URL den Begriff "Glücksspiel" enthält. URLs, die diesen Begriff enthalten, sind nach der Unternehmensrichtlinie nicht zulässig.
  • Forefront TMG blockiert den Zugriff auf diese Website und benachrichtigt den Benutzer über den Grund hierfür.

Wenn der Mitarbeiter der Ansicht ist, dass diese Website nicht gesperrt werden sollte, kann der die Website vorübergehend besuchen und den Administrator darüber benachrichtigen, dass die Website falsch klassifiziert wurde.

Es gibt weitere Funktionen in Forefront TMG, die Ihnen bei Bereitstellungsszenarien in der Cloud helfen können. Das Zwischenspeichern ist ein Beispiel. Forefront TMG kann HTTP- und HTTPS-Daten aus den Cloudanwendungen zwischenspeichern. Dies spart Bandbreite und verbessert die Zufriedenheit der Benutzer, da die Latenzzeit für Cloudanforderungen verkürzt wird.

Forefront TMG kann Cloudbereitstellungen außerdem durch die Integration der BranchCache-Funktion in Windows Server 2008 R2 unterstützen. Um dies zu zeigen, nehmen wir an, dass die zweite Phase der Migration von Contoso zur Cloud die Bereitstellung von Office Web Plus für die Clients in einigen Zweigstellen umfasst (siehe Abbildung 7).

Figure 7 Using the Forefront TMG 2010 BranchCache capability to assist cloud migration of resources located in the branch office

Abbildung 7 Verwenden der Forefront TMG 2010 BranchCache-Funktion zur Unterstützung der Migration von Zweigstellenressourcen zur Cloud

Im Folgenden finden Sie eine Beschreibung dafür, wie BranchCache Clouddienste für Remotestandorte unterstützen kann:

  • Ein Zweigstellenclient sendet eine Anforderung für den Zugriff auf Office Web Apps an das lokale Forefront TMG.
  • Forefront TMG prüft, ob die angeforderten Daten im lokalen Zwischenspeicher vorhanden sind. Wenn dies nicht der Fall ist, sendet das lokale Forefront TMG die Anforderung an das zentrale Forefront TMG.
  • Das zentrale Forefront TMG ruft die Daten aus der Cloud ab und sendet sie an das lokale Forefront TMG in der Zweigstelle.
  • Das lokale Forefront TMG speichert die Daten im lokalen Zwischenspeicher und sendet sie an den Client, der die Anforderung gesendet hat.
  • Ein anderer Client in dieser Zweigstelle sendet die gleiche Anforderung für die gleichen Daten.
  • Forefront TMG prüft die Anforderung, stellt fest, dass die Daten im Zwischenspeicher vorhanden sind und stellt dem Client die Inhalte direkt zur Verfügung.

Wie Sie sehen, nimmt die Größe des Zwischenspeichers zu, je mehr Clients die Cloudobjekte aus der Cloud verwenden. Auf diese Objekte wird mehrmals am Tag zugegriffen. Aufgrund der Zwischenspeicherung dieser Objekte durch Forefront TMG kann das Unternehmen Bandbreite sparen und gleichzeitig die Zugriffsgeschwindigkeit erhöhen.

Sicherheit stellt nach wie vor das Hauptbedenken von Unternehmen dar, die eine Migration zur Cloud in Betracht ziehen. Forefront TMG 2010 kann einen sicheren Webgateway bereitstellen. Da die Sicherheit gewährleistet ist, können Sie sich auf den Grund konzentrieren, warum Ihr Unternehmen zur Cloud migrieren möchte: Kosteneinsparungen.

Yuri Diogenese

Yuri Diogenes* (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP und MCT) ist Senior Security Support Escalation Engineer im CSS Forefront Edge Team in Irving, Texas. Diogenes ist für die Bearbeitung von TMG/ISA-Eskalationen verantwortlich und arbeitet eng mit dem TMG-Produktteam zusammen, um im Namen von Microsoft-Kunden Bugs zu öffnen und Änderungsanforderungen für das Design zu dokumentieren. Diogenes ist Mitverfasser von "Microsoft Forefront Threat Management Gateway Administrator’s Companion" (Microsoft Press 2010) und anderen Publikationen zu Microsoft Forefront. Er verfasst außerdem Artikel für den Blog des TMG-Teams, für* TechNet Magazine und seinen eigenen Blog.

 

Verwandter Inhalt