Funzionalità IO: protezione e rete - dal livello Standard al livello Razionale
In questa pagina
Introduzione
Requisito: firewall gestiti tramite criteri sui server e desktop
Requisito: accesso remoto protetto per risorse interne e applicazioni LOB
Requisito: verifica di comunicazione protetta e garantita tra i server
Requisito: monitoraggio contratti di servizio (SLA) e generazione di report per i server
Requisito: meccanismo di comunicazione protetta per la presenza
Requisito: Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione della rete wireless
Requisito: Servizi certificati gestiti centralmente
Requisito: larghezza di banda gestita proattivamente nelle filiali
Introduzione
Protezione e rete è la terza funzionalità relativa all'ottimizzazione dell'infrastruttura principale. Nella seguente tabella vengono descritte le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Razionale in Protezione e rete.
Sfide |
Soluzioni |
Vantaggi |
---|---|---|
Sfide aziendali I modelli di protezione a più livelli non vengono distribuiti in rete, partendo dal perimetro, passando attraverso firewall, server, desktop e livelli di applicazione Il firewall non è un componente standard dei desktop Gli utenti mobili non dispongono dell'accesso protetto alle risorse tramite l'infrastruttura di routing fornita da una rete pubblica Sfide IT I server accettano il traffico in entrata da qualsiasi host aumentando la vulnerabilità agli attacchi Autenticazione debole dei client wireless Integrità dei dati e crittografia debole della LAN wireless |
Progetti Distribuzione di firewall gestiti tramite criteri sui server. Accesso remoto protetto per risorse interne e applicazioni LOB Verifica delle comunicazioni tra i server protetta e garantita Implementazione di report e monitoraggio dei contratti di servizio per i server Implementazione del meccanismo di comunicazione protetta per la presenza Distribuzione di Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione della rete wireless Implementazione dei servizi certificati gestiti centralmente Avvio della gestione proattiva della larghezza di banda delle filiali |
Vantaggi per l'azienda Gli utenti dispongono dell'accesso protetto alle risorse a prescindere dalla loro ubicazione I criteri e i processi proattivi per la protezione, la configurazione e la gestione migliorano la stabilità Vantaggi IT Migliore gestione delle risorse hardware e software per desktop Criteri di gruppo centralizzati per la distribuzione di criteri e filtri IPsec che incrementano il livello di protezione sui PC I criteri IPsec aumentano la protezione degli ambienti di rete limitando il traffico in entrata agli host attendibili Il personale IT dedica meno tempo alla gestione di eventi critici con conseguente impiego di ulteriore tempo per la distribuzione di nuovi servizi alle aziende |
Il livello Razionale del modello di ottimizzazione dell'infrastruttura riguarda le aree principali dei componenti di rete e protezione, tra cui: firewall locali, protezione IP, monitoraggio della disponibilità, protezione dell'infrastruttura wireless, gestione dei certificati e gestione della rete WAN.
Requisito: firewall gestiti tramite criteri sui server e desktop
Target
È necessario leggere questa sezione se non si dispone di un firewall gestito tramite criteri su almeno l'80% dei server e dei desktop.
Panoramica
Nella Guida alle risorse dell'ottimizzazione dell'infrastruttura principale per i responsabili dell'implementazione: dal livello Base al livello Standard , * *viene illustrata la protezione dei computer di rete utilizzando un firewall perimetrale centralizzato. Per passare dal livello Standard al livello Razionale, è necessario potenziare la protezione tramite firewall della rete stabilendo e applicando i criteri sui server e sui desktop utilizzando i firewall basati su host della classe 1. Microsoft offre, insieme ad altri fornitori di software, un software firewall che consente di configurare la protezione in base a un criterio o a una serie di regole. Questo requisito è strettamente legato al requisito per >configurazione e protezione centralizzate basate sulle directory anch'esso presente al livello Razionale.
È possibile configurare la maggior parte dei firewall classe 1 per diversi livelli di protezione, dal meno restrittivo al più restrittivo. Quando si consente agli utenti di impostare autonomamente il livello di protezione dei computer, non è possibile esser certi che il livello di protezione scelto sarà in grado di proteggere l'intera rete. Con i firewall gestiti tramite criteri è possibile stabilire il livello di protezione più adatto alle proprie esigenze di rete.
Fase 1: valutazione
Nella fase di valutazione viene stabilito nuovamente quali sono i computer presenti nell'ambiente che presentano un tipo di firewall basato su host con capacità di gestione dei criteri. Il livello Razionale stabilisce che oltre l'80% dei PC desktop eseguano Windows XP SP2 o Windows Vista (vedere Requisito: ultime due versioni del sistema operativo e dei Service Pack sui desktop); non esiste alcun requisito al livello Razionale che sancisce che i server eseguano tali sistemi operativi. Questo è importante perché supponendo che l'organizzazione abbia distribuito le due versioni più recenti del sistema operativo, il requisito che prevede la disponibilità sui desktop di funzionalità firewall basate su host è già stato soddisfatto, pertanto sarà necessario integrare semplicemente i requisiti che richiedono l'applicazione della configurazione tramite Criteri di gruppo per garantire che Windows Firewall sia in esecuzione con una configurazione desiderata. I firewall basati su host nei prodotti Windows Server vengono forniti con il rilascio di Windows Server 2003 SP1, pertanto se l'organizzazione non esegue in almeno l'80% della propria infrastruttura server con Windows Server 2003 SP1 o versioni successive, sarà necessario creare un inventario e identificare i sistemi privi di un firewall basato su host. Per automatizzare le informazioni sul sistema operativo e sull'applicazione nell'infrastuttura server, si consiglia di utilizzare l'inventario dell'hardware di SMS 2003.
Fase 2: identificazione
Utilizzando l'inventario di server creato nella fase precedente, la fase di identificazione isola semplicemente l'infrastuttura server che richiede i firewall basati su host. Nella fase di stima e valutazione viene determinata la strategia di attenuazione dei rischi appropriata per consentire ai firewall basati su host di individuare la configurazione firewall adeguata da applicare mediante Criteri di gruppo.
Fase 3: stima e pianificazione
Nella fase di stima e valutazione vengono esaminate le tecnologie firewall basate su host e viene determinata l'azione corretta da intraprendere per disporre di firewall basati su host nell'80% di desktop e server all'interno dell'organizzazione. Dopo aver individuato una strategia per applicare i firewall basati su host alla maggior parte dei desktop e dei server, è necessario stabilire in che modo è possibile utilizzare Criteri di gruppo per applicare l'utilizzo e la configurazione dei firewall basati su host. In questa fase si esegue la valutazione e la pianificazione della distribuzione dei firewall basati su host in un ambiente di test. Le sezioni riportate di seguito sono dedicate a Windows Firewall, ma è possibile scegliere di utilizzare tecnologie simili, come BlackICE di Internet Security Systems o Zone Alarm di Zone Labs.
Windows Firewall
Windows Firewall è un firewall con stato integrato, basato su host, fornito con Windows XP con Service Pack 2, Windows Server 2003 con Service Pack 1, Windows Vista e Windows Server nome in codice "Longhorn" (attualmente nella fase di testing della versione beta). Windows Firewall rimuove il traffico in ingresso non richiesto che non corrisponde al traffico inviato come risposta a una richiesta del computer (traffico richiesto) o al traffico non richiesto che è stato specificato come consentito (traffico consentito).
Come firewall host, Windows Firewall viene eseguito su tutti i server e i client; fornisce protezione da attacchi alla rete tramite la rete perimetrale o da attacchi che hanno origine all'interno dell'organizzazione, come attacchi trojan horse, worm o qualsiasi tipo di programma dannoso diffuso tramite il traffico in ingresso non richiesto.
Per ulteriori risorse su Windows Firewall, andare alla pagina https://www.microsoft.com/technet/network/wf/default.mspx.
È necessario disporre di Windows Firewall o funzionalità firewall simili basate su host nell'80% dei desktop e dei server. Come indicato in precedenza, altri prodotti firewall basati su host da prendere in considerazione sono BlackICE di Internet Security Systems e Zone Alarm di Zone Labs.
Firewall basati su host in desktop e server
Una volta selezionata la tecnologia firewall preferita per i desktop e i server, e individuati gli host con capacità firewall, il passaggio successivo consiste nel testare, configurare e distribuire tali applicazioni firewall all'infrastruttura di verifica. Questi passaggi sono in linea con le procedure consigliate nella presente guida per la gestione delle patch, la verifica della compatibilità dell'applicazione e la distribuzione dell'applicazione, come descritto in Gestione delle patch per i server, Test di compatibilità e certificazione delle distribuzioni software e Rilevamento automatizzato del software e dell'hardware per i desktop. Se è stato scelto Windows Firewall come unica e preferita tecnologia per i server che utilizzano Windows Server 2003 SP1, sarà opportuno effettuare l'aggiornamento dei server individuati a Windows Server 2003 SP1 o versioni più recenti.
Gestione criteri dei firewall
La gestione dei criteri del firewall basato su host è un aspetto fondamentale del livello Razionale nell'ottimizzazione dell'infrastruttura principale. Per gli utenti di Windows Firewall, è fondamentale verificare semplicemente che il servizio firewall sia attivo. Questo processo semplice viene eseguito tramite i seguenti passaggi utilizzando Criteri di gruppo:
Verificare che l'impostazione di Criteri di gruppo, Windows Firewall: Proibisci l'uso del Firewall connessione Internet nella rete del dominio DNS, sia disabilitata o non configurata.
Se abilitata, questa impostazione impedisce a chiunque, anche agli amministratori, di abilitare o configurare Windows Firewall. Per modificare questa impostazione del criterio, utilizzare l'Editor oggetti Criteri di gruppo e modificare gli oggetti criteri di gruppo (GPO) utilizzati per gestire le impostazioni di Windows Firewall nell'organizzazione.
Per modificare l'impostazione Proibisci l'uso del Firewall connessione Internet nella rete del dominio DNS
Aprire l'Editor oggetti Criteri di gruppo per modificare un GPO che viene utilizzato per gestire le impostazioni di Windows Firewall all'interno dell'organizzazione.
Fare clic su Configurazione computer, scegliere Modelli amministrativi, Rete, quindi Connessioni di rete.
Nel riquadro dettagli, fare doppio clic sull'impostazione Windows Firewall: Proibisci l'uso del Firewall connessione Internet nella rete del dominio DNS.
Scegliere la casella di controllo Disattivato o Non configurato.
Se non si utilizza Windows Firewall, individuare l'impostazione equivalente per il firewall basato su host selezionato ed eseguire la procedura equivalente. Dopo aver completato almeno l'80% dei client e server gestiti, viene completato questo attributo per il requisito relativo ai firewall gestiti tramite criteri sui server e desktop. Per ulteriori informazioni su Criteri di gruppo, vedere il requisito per configurazione e protezione centralizzate basate sulle directory della presente guida.
Per ulteriori informazioni sulle impostazioni avanzate di Windows Firewall, vedere Best Practices for Managing Windows Firewall (in inglese).
Fase 4: distribuzione
Come risultato delle precedenti tre fasi, occorre distribuire la tecnologia del firewall basato su host e attivare la gestione dei criteri. Ancora una volta, il processo di distribuzione comprende le procedure consigliate equivalenti per la gestione delle patch, per la verifica della compatibilità tra le applicazioni e per la distribuzione dell'applicazione, come descritto in Gestione delle patch per i server, Test di compatibilità e certificazione delle distribuzioni software e Rilevamento automatizzato del software e dell'hardware per i desktop. Fare riferimento a questi requisiti per informazioni dettagliate sulla pianificazione e distribuzione del processo.
Ulteriori informazioni
Per ulteriori informazioni sui firewall, visitare il sito di Microsoft TechNet ed effettuare la ricerca su Windows Firewall.
Per scoprire in che modo Microsoft integra i firewall nella protezione perimetrale della rete, andare alla pagina https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Checkpoint: firewall gestiti tramite criteri sui server e desktop
Requisiti |
|
---|---|
|
Inventariati i computer desktop e i server per identificare quale hardware dispone attualmente di tecnologie firewall basate su host. |
|
Distribuita la tecnologia firewall basata su host su hardware privo di funzionalità firewall oppure aggiornati i server a Windows Server 2003 SP1 o alle versioni successive. |
|
Definita l'applicazione dei criteri per garantire che i firewall basati su host siano sempre attivati e non possano essere disattivati. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative ai firewall gestiti tramite criteri sui server e desktop del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate indicate nella presente guida per i firewall basati su host gestiti tramite criteri e in Best Practices for Managing Windows Firewall (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: accesso remoto protetto per risorse interne e applicazioni LOB
Target
È necessario leggere questa sezione se i collaboratori non dispongono di accesso remoto protetto alle risorse interne e alle applicazioni LOB oltre la posta elettronica, ad esempio, una rete virtuale privata (VPN) o Servizi terminal Microsoft.
Panoramica
Nell'attuale ambiente di lavoro, le organizzazioni sono sotto pressione per ridurre i costi, aumentare l'efficienza e ottimizzare le prestazioni dell'infrastruttura esistente. La crescita di Internet, insieme alle nuove opportunità aziendali globali, obbliga le aziende a fornire l'accesso protetto alla rete 24 ore su 24, sette giorni su sette ai collaboratori di tutto il mondo. I due scenari in cui in genere si utilizza l'accesso remoto sono:
Accesso client remoti. I client remoti sono in genere singoli computer, computer di casa o laptop di collaboratori che necessitano dell'accesso alle risorse aziendali mentre sono a casa o in viaggio.
Accesso da sito a sito. L'accesso da sito a sito viene utilizzato tra le filiali e le strutture centrali dell'organizzazione per accedere alle risorse e ai dati in diverse posizioni logiche e fisiche.
Entrambi questi requisiti di accesso principali di un'organizzazione aziendale possono essere forniti utilizzando una VPN. Tali soluzioni richiedono la presenza implicita di una connessione remota o una connessione Internet (condivisa) con linea dedicata. Questa guida si concentra innanzitutto sulla VPN e introduce Servizi terminal per soddisfare il requisito. Le indicazioni si basano su Windows Server System Reference Architecture (WSSRA) Remote Access Services (in inglese).
Per ulteriori risorse tecniche sulla VPN in Windows Server 2003, visitare il sito Web Virtual Private Networks Web in Microsoft TechNet (in inglese).
Fase 1: valutazione
Durante la fase di valutazione è necessario identificare i metodi attuali seguiti dagli utenti che lavorano da posizioni remote. Le organizzazioni spesso forniscono solo l'accesso alla posta elettronica tramite servizi come Microsoft Office Outlook® Web Access (OWA) o applicazioni line-of-business abilitate per il Web. In questi casi, gli utenti finali dispongono effettivamente di un sottogruppo di funzionalità in confronto con quelle presenti in sede. Durante la fase di valutazione, è necessario stabilire l'elenco di servizi di alto livello disponibili per gli utenti in sede, come l'Intranet e i servizi di collaborazione, nonché i servizi disponibili per gli utenti che lavorano fuori sede o nelle filiali, come la posta elettronica basata su Web e le applicazioni LOB.
Fase 2: identificazione
A questo punto, dopo aver stabilito un elenco dei servizi per gli utenti che lavorano in sede e per quelli che lavorano fuori sede o nelle filiali, la fase di identificazione determina semplicemente quali servizi offerti sul sito potrebbero aumentare la produttività e l'efficienza dell'utente se distribuiti in maniera protetta tramite l'accesso remoto agli utenti fuori sede. In genere, i principali requisiti di accesso remoto per un'organizzazione, cioè l'accesso del client remoto e l'accesso da sito a sito, possono essere forniti tramite una VPN. Entrambe queste soluzioni richiedono una connessione Internet o una connessione dedicata.
Fase 3: stima e pianificazione
Durante la fase di stima e valutazione si esamina la modalità con cui vengono distribuiti i servizi di accesso remoto selezionati, insieme ai controlli utilizzati per gestire la protezione. Per la maggior parte delle organizzazioni, sarebbe troppo dispendioso aprire un ufficio in ogni città o fornire circuiti privati all'abitazione di ciascun collaboratore per garantire connessioni protette alla rete aziendale. Una VPN consente ai partner aziendali e ai collaboratori di effettuare connessioni protette e crittografate utilizzando Internet, generalmente a costi ridotti.
Reti private virtuali (VPN)
Una VPN è una connessione protetta e crittografata tra endpoint che viene stabilita tramite una connessione condivisa come Internet e utilizzata come un'estensione di una rete aziendale. Una rete di questo tipo consente all'organizzazione di utilizzare l'infrastruttura Internet esistente collegando semplicemente un ufficio o un utente a un provider di servizi Internet (ISP). La rete VPN è anche una tecnologia estensibile; ad esempio, è possibile implementare Voice over IP (VoIP) per consentire agli utenti remoti di utilizzare l'interno dell'ufficio (con tutte le relative funzionalità) da qualsiasi ubicazione lavorino.
Le connessioni VPN consentono agli utenti che lavorano a casa o che viaggiano di usufruire di una connessione di accesso remoto a un server dell'organizzazione, utilizzando l'infrastruttura fornita da una rete come Internet. Dal punto di vista dell'utente, la VPN è una connessione point-to-point tra il computer, il client VPN e un server aziendale (il server VPN). L'esatta infrastruttura della rete condivisa o pubblica è irrilevante poiché i dati appaiono inviati tramite un collegamento privato dedicato.
Le connessioni VPN consentono alle organizzazioni di disporre anche di connessioni instradate ad altre organizzazioni su una internetwork pubblica come Internet gestendo al tempo stesso comunicazioni protette, ad esempio, per gli uffici posizionati in luoghi disparati. Una connessione VPN instradata su Internet funziona logicamente con un collegamento Wide Area Network (WAN) dedicato.
Il seguente diagramma illustra una progettazione relativa all'architettura per i servizi di accesso remoto che utilizzano una VPN.
Figura 7. Progettazione dell'architettura per i servizi di accesso remoto che utilizzano una VPN
Considerazioni sulla progettazione della VPN
Durante la progettazione di una soluzione VPN, occorre prendere in considerazione diverse problematiche, tra cui la protezione, i costi, l'integrazione, i requisiti futuri e l'amministrazione. Prima di decidere la tecnologia VPN appropriata, è importante stabilire gli obiettivi del progetto relativi a una soluzione VPN. Tali obiettivi variano a seconda se la soluzione è per l'accesso client remoto, per l'accesso da sito a sito o per entrambi. Per ulteriori informazioni sulle opzioni del progetto VPN, vedere WSSRA Remote Access Services Blueprint (in inglese).
Pianificazione dei servizi di accesso remoto
La progettazione dell'accesso remoto si basa sulle informazioni raccolte durante il processo di determinazione dei requisiti aziendali e tecnici. In genere, una soluzione di accesso remoto è necessaria per i client remoti, come i collaboratori che lavorano a casa o in viaggio, e per le filiali con più utenti dove esistono connessioni da sito a sito aziendali.
Per informazioni dettagliate sulla pianificazione dei servizi di accesso remoto ai client remoti, leggere WSSRA Remote Access Services Planning Guide for the Corporate Data Center (CDC) Scenario (in inglese).
Per informazioni dettagliate sulla pianificazione dei servizi di accesso remoto per le filiali, leggere:
Servizi terminal
Il componente Servizi terminal di Microsoft Windows Server 2003 consente di distribuire virtualmente le applicazioni basate su Windows o lo stesso desktop Windows a qualsiasi dispositivo informatico, compresi quelli che non possono eseguire Windows.
Servizi terminal di Windows Server 2003 offre tre vantaggi importanti per l'accesso remoto protetto:
Distribuzione centralizzata rapida delle applicazioni.
Accesso ai dati con larghezza di banda ridotta.
Windows sempre disponibile.
Per ulteriori informazioni su Servizi terminal, andare alla pagina http://technet2.microsoft.com/windowsserver/en/technologies/featured/termserv/default.mspx.
Fase 4: distribuzione
Dopo aver considerato le opzioni per i servizi di accesso remoto e aver stabilito cosa è richiesto per fornire il servizio appropriato a client e filiali remoti, l'implementazione del progetto avviene durante la fase di distribuzione. Nella guida WSSRA Remote Access Services Build Guide (in inglese) vengono illustrate le fasi di implementazione per la verifica e la distribuzione dei servizi VPN ai client remoti nello scenario CDC e alle filiali nello scenario SBO.
Ulteriori informazioni
Per scoprire in che modo Microsoft implementa una VPN e Servizi terminal, visitare i seguenti siti Web:
https://www.microsoft.com/technet/itshowcase/content/isa2004sp2.mspx
https://www.microsoft.com/technet/itshowcase/content/rasecwp.mspx
Checkpoint: accesso remoto protetto per risorse interne e applicazioni LOB
Requisiti |
|
---|---|
|
Valutati i requisiti di accesso remoto per client remoti e filiali. |
|
Progettati e implementati la rete privata virtuale protetta o servizi analoghi per client remoti e filiali. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità di accesso remoto protetto per risorse interne e applicazioni LOB del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per VPN individuate nel sito Virtual Private Networks Web site in Microsoft TechNet (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: verifica di comunicazione protetta e garantita tra i server
Target
È necessario leggere questa sezione se non si dispone di un metodo protetto e garantito per verificare la comunicazione tra server critici come i controller di dominio e i server di posta elettronica.
Panoramica
Le organizzazioni si trovano ad affrontare sfide sempre più impegnative per proteggere i perimetri delle reti. Con l'aumento delle organizzazioni e il modificarsi delle relazioni commerciali, con clienti, fornitori e consulenti che devono potersi collegare tramite dispositivi portatili alla rete per motivi aziendali validi, il controllo dell'accesso fisico a una rete può diventare impossibile. L'avvento delle reti e delle tecnologie di connessione senza fili hanno semplificato più che mai l'accesso alla rete. Questa aumentata connettività significa che i membri di dominio della rete interna sono esposti maggiormente a rischi significativi provenienti da altri computer sulla stessa rete interna, nonché a violazioni della protezione del perimetro.
Il concetto di isolamento logico illustrato nella presente guida include due soluzioni: l'isolamento del server per garantire che un server accetti le connessioni di rete solo da membri attendibili del dominio o da un gruppo specifico di membri del dominio, e l'isolamento del dominio per isolare i membri del dominio da connessioni non attendibili. Queste soluzioni possono essere utilizzate separatamente o insieme all'interno di una soluzione completa di isolamento logico.
In sostanza, l'isolamento di server e domini consente agli amministratori IT di limitare le comunicazioni TCP/IP dei membri di dominio che sono computer attendibili. È infatti possibile configurare tali computer in modo da consentire solo le connessioni in ingresso provenienti da altri computer attendibili o da un determinato gruppo di computer considerati attendibili. Criteri di gruppo gestisce centralmente i controlli di accesso che verificano i diritti di accesso alla rete. È possibile garantire la protezione di gran parte delle connessioni alla rete TCP/IP senza apportare modifiche all'applicazione, in quanto IPsec interviene a livello di rete, al di sotto del livello dell'applicazione, fornendo protezione end-to-end tra computer per l'autenticazione e a livello di pacchetto. Il traffico di rete può essere autenticato, o autenticato e crittografato, in diversi scenari personalizzabili. La presente guida segue le indicazioni e i suggerimenti tratti da Server and Domain Isolation Using IPsec and Group Policy Guide in Microsoft TechNet (in inglese).
Fase 1: valutazione
In conformità agli altri requisiti presenti in questa guida, la prima fase riguarda il processo di valutazione dello stato corrente dell'organizzazione. Il processo di acquisizione e gestione di un archivio affidabile di computer, software e periferiche di rete di un'organizzazione rappresenta una delle sfide classiche del settore IT. Per definire lo stato attuale sono necessarie le informazioni sui seguenti argomenti:
Rilevamento della rete
Documentazione sulla segmentazione della rete
Dispositivi dell’infrastruttura di rete
Analisi del modello di traffico di rete in uso
Active Directory
Rilevamento degli host
Requisiti dei dati sugli host
Per informazioni dettagliate su come raccogliere informazioni, leggere Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 3: Determining the Current State of Your IT Infrastructure (in inglese). In questa guida vengono illustrati i requisiti per ciascun elemento e viene indicato come raccogliere informazioni tramite il rilevamento automatico utilizzando SMS 2003 o prodotti simili, nonché opzioni di rilevamento manuali.
Fase 2: identificazione
L'obiettivo della fase di identificazione è stabilire quali sono le strategie appropriate per soddisfare le esigenze dell'organizzazione. Difendere un'infrastruttura IT moderna dagli hacker e consentire contemporaneamente ai dipendenti di lavorare nel modo più agevole e produttivo non è un compito facile. Per molte persone è addirittura difficile comprendere l'ampia gamma di tecnologie che consentono di proteggere un ambiente. Potrebbe essere d'aiuto capire dove la soluzione si inserisce esattamente all'interno di una tipica infrastruttura IT e come integra le difese esistenti della rete.
La figura seguente, che rappresenta un'infrastruttura di rete costituita da vari livelli di difesa della rete, mostra dove si inserisce l'isolamento logico in un ambiente tipico.
Figura 8. Infrastruttura di rete tipica
Al termine del processo di identificazione vengono stabiliti i requisiti di alto livello per il progetto di isolamento di server e domini. Durante la fase di stima e pianificazione verranno stabiliti requisiti dettagliati e un piano di esecuzione. Per ulteriori informazioni, vedere Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 4: Designing and Planning Isolation Groups (in inglese).
Fase 3: stima e pianificazione
L'obiettivo della fase di stima e pianificazione consiste nel verificare che vengano prese in considerazioni tutte le opzioni per proteggere e garantire la comunicazione tra i server. In questo caso, l'attenzione è posta su IPsec, considerato il meccanismo ideale; è disponibile un altro requisito correlato per i servizi certificati gestiti centralmente al livello Razionale nel modello di ottimizzazione dell'infrastruttura principale.
Per generare un piano eseguibile per la fase di distribuzione, vengono fornite istruzioni per l'implementazione del progetto di isolamento di server e domini.
Valutazione di Internet Protocol Security (IPsec)
IPsec viene utilizzato in genere per proteggere il canale di comunicazione tra due server e limitare il numero di computer che possono comunicare tra loro. Ad esempio, è possibile proteggere un server di database stabilendo un criterio che consenta richieste provenienti solo da computer client attendibili, come un server delle applicazioni o un server Web. È anche possibile limitare la comunicazione a protocolli IP specifici e a porte TCP/UDP.
I suggerimenti e i requisiti di rete per una server farm rendono IPsec un'ottima opzione perché:
Tutti i server si trovano su una LAN fisica (per migliorare le prestazioni di IPsec).
Ai server vengono assegnati indirizzi IP statici.
È possibile utilizzare IPsec anche tra domini Windows Server 2003 o Microsoft Windows 2000 Server attendibili. Ad esempio, è possibile utilizzare IPsec per proteggere la comunicazione di un server Web o di un server delle applicazioni in una rete perimetrale che si collega a un computer che esegue Microsoft SQL Server in una rete interna. Per ulteriori informazioni, vedere Selecting IPsec Authentication Methods in Windows Server 2003 Deployment Guide (in inglese).
Per ulteriori informazioni sugli ambienti consigliati per IPsec, vedere Determining Your IPsec Needs in Windows Server 2003 Deployment Guide (in inglese).
Pianificazione dell'isolamento di server e domini
Durante la fase di identificazione vengono creati requisiti di alto livello. Il passaggio successivo consiste nel creare un piano di implementazione utilizzando Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 4: Designing and Planning Isolation Groups (in inglese). Una volta creato un piano e definiti i requisiti dettagliati, per la loro implementazione è necessaria una combinazione dei seguenti elementi:
Requisiti di accesso in ingresso e in uscita per il dominio di isolamento e i gruppi di isolamento:
Criterio Internet Protocol Security (IPsec) sviluppato specificatamente per il gruppo di isolamento, che richiede la negoziazione Internet Key Exchange (IKE) di IPsec per le connessioni in ingresso e in uscita.
Gruppi di protezione a livello di dominio, denominati gruppi di accesso alla rete, che consentono o negano l'accesso alla rete quando si utilizza il traffico protetto da IPsec.
Requisiti di protezione del traffico di rete per il domino e i gruppi di isolamento:
Filtri dei criteri IPsec configurati per identificare in maniera appropriata il traffico da proteggere.
Operazioni filtro IPsec che negoziano il livello di autenticazione richiesto e specificano la crittografia per il traffico identificato dal filtro.
Impostazioni delle operazioni filtro IPsec che controllano le condizioni per la comunicazione non crittografata, quando le connessioni in uscita vengono avviate da host attendibili.
Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 5: Creating IPsec Policies for Isolation Groups (in inglese) analizza la preparazione della soluzione di utilizzo di Criteri di gruppo e dei criteri IPsec in Active Directory mediante Windows Server 2003, e la configurazione dei membri di dominio mediante Windows Server 2003 e Microsoft Windows XP.
Fase 4: distribuzione
L'obiettivo della fase di distribuzione è quello di implementare ciò che è stato pianificato come risultato delle tre fasi precedenti. In questa fase verranno creati dei criteri IPsec in Active Directory, che comprendono la creazione di elenchi di filtri, azioni filtro e criteri IPsec per implementare i gruppi di isolamento. La figura seguente illustra i vari componenti di un criterio IPsec e le loro associazioni.
Figura 9. Componenti del criterio IPsec
Per istruzioni di implementazione dettagliate dei criteri IPsec, leggere Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 5: Creating IPsec Policies for Isolation Groups (in inglese).
Ulteriori informazioni
Per ulteriori informazioni su IPsec, visitare il sito di Microsoft TechNet ed effettuare la ricerca su IPsec.
Per scoprire in che modo Microsoft protegge le comunicazioni tra server, andare alla pagina https://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx.
Checkpoint: verifica di comunicazione protetta e garantita tra i server
Requisiti |
|
---|---|
|
Valutato lo stato corrente dell'infrastruttura di rete interessata da Internet Protocol security (IPsec). |
|
Identificati i requisiti organizzativi per assicurare comunicazioni garantite e protette tra i server, inclusi gli impatti di normative e direttive di conformità. |
|
Sviluppato e implementato un piano nell'organizzazione che utilizza IPsec per soddisfare i requisiti definiti. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative alla verifica delle comunicazioni tra i server protetta e garantita del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per la comunicazione tra server.
Passare alla domanda di autovalutazione successiva.
Requisito: monitoraggio contratti di servizio (SLA) e generazione di report per i server
Target
È necessario leggere questa sezione se non si dispone di un contratto di servizio (SLA) per il monitoraggio e la generazione di report SLA per almeno l'80% dei server.
Panoramica
La gestione dell'IT mediante un approccio di gestione al servizio diventa sempre più importante nelle attuali infrastrutture IT. Le organizzazioni si impegnano notevolmente per rimanere competitive e soddisfare le esigenze dei clienti interni ed esterni, di conseguenza considerano le infrastrutture IT come qualcosa di più che una raccolta di server connessi tramite reti Wide Area Network (WAN) e che eseguono delle applicazioni. Le organizzazioni devono poter considerare tali risorse come servizi in grado di generare profitti e fornire funzionalità idonee ai propri clienti. Con un approccio di questo tipo è necessario conoscere tutti i componenti che compongono i servizi e l'impatto che ciascun componente ha sul livello di disponibilità fornito dal servizio. Inoltre, è necessario valutare correttamente nel tempo l'offerta dei servizi per capire chiaramente la qualità del servizio fornita dai sistemi.
La Guida alle risorse dell'ottimizzazione dell'infrastruttura principale per i responsabili dell'implementazione: dal livello Base al livello Standard spiega la necessità di disporre di un metodo automatizzato per il monitoraggio dei server critici all'interno dell'organizzazione al livello Standard. Al livello Razionale si estende semplicemente il requisito a tutti i server all'interno dell'organizzazione e si associano i requisiti di gestione del livello di servizio come parte del requisito di monitoraggio. Il livello Razionale non richiede un minimo di disponibilità; questa viene considerata appropriata per il servizio IT all'interno dell'organizzazione.
Fase 1: valutazione
Così come avviene al livello Standard, durante la fase di valutazione l'organizzazione deve utilizzare un inventario di tutti i server nell'infrastruttura dell'organizzazione. È possibile identificare manualmente i server e le specifiche o utilizzare uno strumento per automatizzare il processo di inventario, come le funzionalità di raccolta di inventario di Systems Management Server (SMS) 2003.
Di seguito vengono indicate altre operazioni per il passaggio al livello Razionale:
Stabilire i servizi IT primari all'interno dell'organizzazione (catalogo di servizi).
Assegnare all'infrastruttura i componenti necessari per la distribuzione di tali servizi.
Raccogliere le informazioni per stabilire una linea di base del livello di servizio corrente.
Determinazione delle linee di base del livello di servizio
Una linea di base è una linea disegnata nel tempo che offre un'istantanea della situazione. In questo caso, rappresenta un'immagine della gestione dei livelli di servizio all'interno dell'organizzazione. Una linea di base fornisce un quadro dei servizi distribuiti in un determinato periodo di tempo e un piano per raggiungere gli obiettivi futuri posti dalla gestione del livello di servizio. Per ottimizzare le prestazioni IT non è necessaria solo una visione chiara dell'obiettivo, ma anche dell'attuale linea di base da cui avrà inizio il processo.
Per ulteriori indicazioni sulla valutazione delle linee di base per livello di servizio, leggere la guida Microsoft Operations Framework (MOF) Service Level Management (in inglese).
Fase 2: identificazione
Dopo aver effettuato l'inventario di tutti i server, la fase di identificazione al livello Razionale è il processo di definizione dei livelli di servizio appropriati rispetto alle linee di base. L'obiettivo principale della gestione del livello di servizio consiste nel migliorare i servizi a lungo termine disponibili per l'azienda e risolvere i problemi di provisioning del servizio attualmente esistenti.
Tra gli svariati vantaggi per il reparto IT, oltre al miglioramento del servizio, si rileva una maggiore conoscenza delle aspettative commerciali e una migliore gestione dei costi. Gestione del livello di servizio consente al reparto IT di soddisfare le aspettative aziendali e di aprire una finestra di dialogo per confermare tali aspettative. Ad esempio, è possibile che un reparto IT intenda distribuire un servizio con disponibilità al 100%, al 99.999% o persino al 70%, ma che non sia in grado di spiegare in che modo abbia raggiunto tali percentuali. A meno che questa aspettativa non sia documentata e concordata precedentemente nel processo di gestione del livello di servizio, il reparto IT potrebbe focalizzare l'attenzione su un servizio critico, non commerciale, ad esempio lo sviluppo dello staff, investendo su hardware, software e altre attività costose, con scarsi vantaggi per l'azienda.
Obiettivi del livello di servizio
Quando vengono stabiliti gli obiettivi del livello di servizio, valutare quali sono le reali necessità dell'azienda. Spesso, ciò implica la valutazione del processo, ad esempio, la valutazione della soddisfazione del cliente, la risposta alle telefonate e alle domande. Per supportare tali valutazioni, sono disponibili dei metodi in cui è possibile utilizzare la tecnologia esistente all'interno dell'organizzazione. Ad esempio, la tecnologia del servizio clienti può eseguire dei report raccolti in seguito alle chiamate registrate presso il servizio di assistenza che registra le chiamate in uscita da parte di singoli.
Spesso, si tratta di catene complesse di componenti che portano alla distribuzione di un servizio. È possibile, tuttavia, accordarsi su un obiettivo finale per il servizio a condizione che l'offerta dei servizi possa essere misurata sulla base della catena end-to-end dei componenti.
Misure comuni per gli obiettivi del livello di servizio
Misura |
Esempio |
---|---|
Disponibilità |
Disponibilità del servizio espressa in giorni e ore o un importo in % sulla base di tale servizio. |
Reattività e prestazioni |
Velocità e volume del servizio (misure della velocità effettiva e del carico di lavoro), tempo per acquisire i dati, velocità di trasferimento dati e tempi di risposta, nonché velocità di risposte tecniche. |
Protezione |
Protezione del servizio. |
Le misure per gli obiettivi del livello di servizio devono essere analizzate attentamente mediante i seguenti criteri:
Supportano gli obiettivi aziendali?
Sono specifiche?
È possibile misurarle?
Sono raggiungibili anche se ciò richiede uno sforzo significativo da parte dell'IT?
Sono realistiche in relazione ai vantaggi che apportano all'azienda?
Fase 3: stima e pianificazione
Dopo aver definito tutti i servizi in un catalogo di servizi e dopo aver definito i livelli di servizio desiderati, durante la fase di stima e pianificazione vengono valutate le tecnologie che consentono di automatizzare il monitoraggio dei componenti presenti nel servizio IT.
Software di monitoraggio
Nella presente sezione si descrive in che modo è possibile utilizzare il software per monitorare la disponibilità dei server critici. In questo esempio, viene utilizzato Microsoft Operations Manager (MOM) per il monitoraggio. A prescindere se si utilizza MOM o meno, il software per il monitoraggio della disponibilità o altre misure del livello di servizio deve presentare le seguenti funzionalità:
Capacità di raccogliere informazioni sugli attributi dei server e di applicare determinate regole per monitorarli, in base agli attributi di cui dispongono.
Capacità di ottenere dati provenienti dai registri eventi e altri fornitori, come definito da regole specifiche.
Capacità di raccogliere dati sulle prestazioni in base ai contatori delle prestazioni.
Capacità di generare avvisi in base ai criteri specificati nelle regole.
In base alle misure definite nei contratti di servizio dell'organizzazione, è possibile utilizzare MOM come unica tecnologia per la raccolta dei dati. Nella maggior parte dei casi, sarà necessario integrare i dati MOM con i dati di altri servizi; ad esempio, se sono stati definiti livelli di servizio come parte del processo di gestione delle modifiche e dei rilasci, sarà necessario utilizzare i report sullo stato da altri meccanismi come Systems Management Server 2003.
System Center Operations Manager 2007 è in fase di rilascio al momento di questa pubblicazione. Ultima versione della soluzione di gestione delle operazioni di Microsoft, questo prodotto aggiunge funzionalità per il monitoraggio dell'integrità orientato al servizio, il monitoraggio client e il monitoraggio dei servizi di dominio.
MOM Availability Management Pack
Con MOM Availability Management Pack è possibile raccogliere e analizzare i dati provenienti dai registri eventi dei server e generare alcuni report configurabili da poter visualizzare e personalizzare per soddisfare le esigenze dell'organizzazione. È possibile utilizzare tali report per identificare le cause dei tempi di inattività pianificati e non pianificati e per prendere adeguate misure preventive per ridurre i tempi di inattività in futuro.
Tali report sulla disponibilità possono essere utilizzati per:
Stabilire se i server sono in grado di soddisfare gli obiettivi di disponibilità e attendibilità.
Filtrare i report per tenere traccia delle tendenze visualizzando le informazioni raccolte in un determinato periodo di tempo, come quelle raccolte nell'arco di alcuni mesi o anni.
Identificare i computer con prestazioni migliori e peggiori per una determinata area.
Identificare le aree del problema, come la versione di un'applicazione o di un sistema operativo particolare che non risponde più.
Visualizzare e analizzare le informazioni raccolte mediante Individuazione evento di arresto.
MOM Availability Management Pack può rivelarsi uno strumento molto prezioso per semplificare le principali misure di monitoraggio nella gestione del livello di servizio e passare al livello Razionale. Per ulteriori informazioni su MOM Availability Management Pack, andare all'indirizzo https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/3e1dfa65-84a5-4e3e-9403-3ef9b47c6b68.mspx?mfr=true.
Pianificazione della distribuzione di Microsoft Operations Manager
Se si seleziona Microsoft Operations Manager come tecnologia di monitoraggio per i server e questo non è ancora stato distribuito nell'ambiente in uso, vedere MOM 2005 Deployment Planning Guide (in inglese) come parte di Microsoft TechNet Operations Manager TechCenter (in inglese).
System Center Operations Manager 2007
System Center Operations Manager 2007 offre un approccio di monitoraggio orientato ai servizi che consente di monitorare i servizi IT end-to-end, di aumentare il monitoraggio in ambienti e organizzazioni di grandi dimensioni e di utilizzare la conoscenza dell'applicazione e del sistema operativo Microsoft per risolvere i problemi operativi. Di seguito vengono riportate alcune delle funzionalità fornite da Operations Manager 2007.
Monitoraggio orientato al servizio
Una Operations Console consolidata visualizza l'integrità dell'ambiente e consente di gestire gli avvisi. Per ulteriori informazioni su Operations Console, vedere Operations Console in Operations Manager 2007 (in inglese).
I report forniscono diversi metodi per visualizzare l'integrità dell'ambiente. Per ulteriori informazioni sui report, vedere Reporting in Operations Manager 2007 (in inglese).
Management Pack incorporati
Management Pack predefiniti forniscono informazioni sul monitoraggio per molte applicazioni Microsoft. Inoltre, è possibile creare Management Pack propri per monitorare le applicazioni personalizzate. Per ulteriori informazioni sui Management Pack, vedere Management Packs in Operations Manager 2007 (in inglese).
La maggior parte dei Management Pack di Microsoft include informazioni su come risolvere i problemi comuni relativi all'applicazione.
Monitoraggio dei client
Monitoraggio dei client consente di inoltrare i rapporti di errore per i sistemi operativi e le applicazioni a Microsoft e ricevere, se disponibili, delle soluzioni per tali errori. Per ulteriori informazioni, vedere Client Monitoring in Operations Manager 2007 (in inglese).
Servizi di dominio Active Directory
Integrazione Servizi di dominio Active Directory utilizza gli investimenti precedenti consentendo di assegnare i computer gestiti dagli agenti ai gruppi di gestione. Per ulteriori informazioni sui servizi di dominio Active Directory, vedere Active Directory Domain Services Integration in Operations Manager 2007 (in inglese).
Ambiente di monitoraggio protetto
Le funzionalità di protezione consentono di monitorare l'integrità delle applicazioni e dei servizi IT anche quando alcune parti dell'ambiente si trovano all'esterno dell'area protetta. Per ulteriori informazioni sulle funzionalità di protezione, vedere Security Considerations in Operations Manager 2007 (in inglese) e Operations Manager 2007 Gateway Server (in inglese).
L'autorizzazione basata su ruoli consente di personalizzare le azioni che operatori e amministratori possono intraprendere. Per ulteriori informazioni sui ruoli, vedere About User Roles in Operations Manager 2007 (in inglese).
Il servizio ACS raccoglie in modo efficace gli eventi di protezione dai computer gestiti e fornisce report per l'analisi. Per ulteriori informazioni sulla raccolta di controlli, vedere Audit Collection Services (ACS).
Ulteriori informazioni
Per ulteriori informazioni su System Center Operations Manager 2007, visitare il sito Web all'indirizzo http:/www.microsoft.com/technet/opsmgr/opsmgr2007_default.mspx.
Fase 4: distribuzione
Dopo aver definito i servizi IT in un catalogo di servizi, stabilito la linea di base o gli attuali livelli di servizio, definiti i livelli di servizio appropriati per l'organizzazione e stabilito un piano per automatizzare il monitoraggio dei livelli di servizio, è arrivato il momento di implementare la soluzione di monitoraggio della disponibilità.
Se l'organizzazione ha scelto Microsoft Operations Manager come tecnologia per eseguire il monitoraggio della disponibilità dei sistemi, è possibile trovare indicazioni dettagliate per la distribuzione nei siti MOM 2005 Deployment Guide (in inglese) e System Center Operations Manager 2007 Deployment Guide (in inglese) di Microsoft TechNet.
Ulteriori informazioni
Per ulteriori informazioni, andare alla pagina Microsoft TechNet ed effettuare una ricerca su SLA.
Per ulteriori informazioni sul monitoraggio della disponibilità dei server con MOM 2005, andare all'indirizzo https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Per informazioni su ulteriori funzionalità per ottimizzare il monitoraggio dei server tramite MOM 2005, vedere il contenuto di Solution Accelerator (in inglese).
Notification Workflow. Notification Workflow è un'applicazione di servizi di notifica basata su Microsoft SQL Server che può essere utilizzata per estendere le funzionalità di notifica di MOM 2005.
Autoticketing. Autoticketing fornisce indicazioni per la generazione automatizzata dei ticket, consentendo la pubblicazione automatizzata di una richiesta (o ticket) nel sistema Trouble Ticketing (TT) utilizzato per la gestione degli imprevisti.
Alert Tuning Solution. Alert Tuning consente di ridurre il volume degli avvisi durante la distribuzione dei Management Pack MOM 2005.
Service Continuity. Service Continuity consente di gestire la disponibilità del servizio MOM 2005.
Multiple Management Group Rollup. Multiple Management Group Rollup consente a un'azienda di propagare i dati da diversi gruppi di gestione in un data warehouse per creare report consolidati e aggregati.
Per informazioni su come Microsoft controlla Exchange Server 2003, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Per scoprire in che modo Microsoft utilizza i contratti di servizio, andare alla pagina https://www.microsoft.com/technet/itshowcase/content/itscorecdnote.mspx.
Checkpoint: monitoraggio contratti di servizio (SLA) e generazione di report per i server
Requisiti |
|
---|---|
|
Definiti i servizi IT dell'organizzazione in un catalogo di servizi. |
|
Stabiliti la linea di base o i livelli di servizio correnti per i servizi definiti. |
|
Definiti i livelli di servizio appropriati per l'organizzazione e stabilito un piano per automatizzare il monitoraggio dei livelli di servizio. |
|
Implementata e automatizzata una soluzione di monitoraggio della disponibilità. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative al monitoraggio SLA e generazione di report per i server del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per stabilire e monitorare gli SLA del server in Microsoft Operations Framework (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: meccanismo di comunicazione protetta per la presenza
Target
È necessario leggere questa sezione se non si dispone di un meccanismo di comunicazione protetta, come Session Initiation Protocol (SIP), per la presenza.
Panoramica
La presenza indica informazioni in tempo reale che descrivono la posizione e la disponibilità di un determinato utente per la comunicazione. La determinazione della presenza a livello aziendale può consentire un aumento significativo della produttività. La collaborazione e la comunicazione tra collaboratori risulta più efficace quando viene ridotto il tempo per la traccia.
La presenza online consente a singole persone di identificare chi è online e chi è disponibile per la comunicazione in un determinato momento. Attivando la presenza online (e installando il software richiesto) è possibile aggiungere un indicatore di stato online accanto al nome di un utente ogni volta che il suo nome viene visualizzato in una raccolta di siti. L'indicatore di stato online indica se l'utente è offline o online e se è disponibile per rispondere alle query tramite un client di messaggistica immediata. Quando un utente è online, è possibile selezionare l'indicatore di stato online per inviare un messaggio immediato. Questo accesso diretto alle risorse raggiungibili consente ai membri del team di lavorare in maniera più efficace ed efficiente.
Sono disponibili diversi metodi per consentire comunicazioni protette per le informazioni sulla presenza. I sistemi di messaggistica immediata possono fornire comunicazioni protette tra gli oggetti utente nella directory. Grazie a tecnologie quali Session Initiation Protocol (SIP) per le comunicazioni online, è possibile passare dal livello Standard al livello Razionale. Il livello Razionale richiede che anche la comunicazione tramite SIP sia protetta; ciò significa che la comunicazione viene archiviata, che viene attivata tramite il servizio directory e che vengono utilizzati i certificati.
Per maggiori informazioni sul valore aziendale della presenza, scaricare il documento Live Communications Server 2005 Document: Business Value of Presence (in inglese).
Fase 1: valutazione
Durante la fase di valutazione si esamina la modalità con cui gli utenti appartenenti all'organizzazione identificano attualmente la presenza di altri utenti. Molte organizzazioni utilizzano tecnologie di messaggistica immediata offerte dai provider di servizi Internet. Nonostante consentire la presenza online rappresenti un vantaggio in molti ambienti dove la collaborazione è di fondamentale importanza, occorre stabilire un equilibrio tra i vantaggi derivanti dalla maggiore collaborazione dei membri del gruppo e i requisiti di protezione e conformità, con un'attenzione particolare alla distribuzione di un client di messaggistica immediata. La pianificazione della presenza deve garantire che le comunicazioni esterne verso e provenienti dal client di messaggistica immediata siano conformi ai criteri a livello aziendale per la protezione e alle linee guida delle normative e le procedure commerciali. In molte organizzazioni, le conversazioni tramite messaggistica immediata devono essere effettuate rispettando i requisiti di registrazione delle comunicazioni elettroniche. Ad esempio, le organizzazioni soggette alle leggi Sarbanes-Oxley devono archiviare le conversazioni avvenute tramite messaggistica immediata come parte dei requisiti di archiviazione della registrazione.
I risultati finali principali della fase di valutazione portano a creare un inventario delle applicazioni software attualmente utilizzate nell'organizzazione per attivare la presenza e la messaggistica immediata. In ambienti con livelli elevati di protezione, gli utenti possono essere soggetti a criteri che limitano l'installazione delle applicazioni; tuttavia, si consiglia comunque di creare un inventario di tutti i sistemi. È possibile creare centralmente un inventario dell'ambiente utilizzando strumenti come Systems Management Server 2003 o Application Compatibility Toolkit (ACT).
Fase 2: identificazione
Durante la fase di identificazione vengono raccolti i requisiti di alto livello per attivare la presenza in conformità ai regolamenti o ai criteri organizzativi. Come descritto in precedenza, per molte organizzazioni è obbligatorio archiviare le conversazioni interne tramite la messaggistica immediata. Inoltre, è necessario indagare l'ambito in cui gli indicatori di presenza vengono integrati in altre applicazioni di produttività, come la posta elettronica e il software di collaborazione. La specifica dei requisiti che risulta dalla fase di identificazione verrà utilizzata durante la valutazione e la pianificazione della presenza nelle seguenti fasi.
Per informazioni su come viene utilizzata la presenza con Microsoft Office SharePoint® Server, vedere http://technet2.microsoft.com/Office/en-us/library/3f53f3d3-85b8-42e5-8213-afb5eec7e8651033.mspx.
Per informazioni sull'integrazione della funzionalità di presenza con Microsoft Office Outlook, vedere http://technet2.microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Fase 3: stima e pianificazione
Durante la fase di stima e valutazione, vengono esaminate le tecnologie specifiche per attivare la presenza nell'ambiente. Le seguenti sezioni illustrano il protocollo ed elencano alcune possibilità tecnologiche offerte da Microsoft per attivare la presenza.
Session Initiation Protocol (SIP)
Session Initiation Protocol (SIP), simile a HyperText Transfer Protocol (HTTP), è un protocollo basato sul testo per il controllo delle chiamate e delle segnalazioni a livello dell'applicazione. SIP viene utilizzato per creare, modificare e terminare sessioni SIP, nonché per supportare le comunicazioni unicast e multicast. Considerato che SIP si basa su testo, l'implementazione, lo sviluppo e il debug risultano più semplici rispetto a H.323. Mediante SIP, un utente è in grado di invitare esplicitamente un altro utente a unirsi a una conversazione o a una sessione multimediale. Una sessione SIP ha inizio quando il secondo utente accetta l'invito. SIP supporta anche l'invito di ulteriori utenti a una sessione già avviata.
Per ulteriori informazioni sui protocolli di comunicazione in tempo reale, andare alla pagina https://www.microsoft.com/technet/prodtechnol/winxppro/plan/rtcprot.mspx.
Live Communications Server
Live Communications Server 2005 fornisce la messaggistica immediata (IM) e la presenza come parte di una soluzione aziendale scalabile offrendo maggiore protezione, integrazione continua con altri prodotti Microsoft e una piattaforma di sviluppo standard ed estensibile del settore. Microsoft Office Live Communications Server 2005 fornisce i seguenti strumenti e funzionalità per la comunicazione e la collaborazione protetta che utilizzano SIP per la presenza:
Messaggistica immediata
Comunicazione audio e video
Collaborazione dati
Visitare il sito Web Microsoft Office Live Communications Server TechCenter (in inglese) per trovare informazioni su pianificazione, distribuzione e funzionamento di Microsoft Office Live Communications Server.
Office Communicator 2005 e Office Communicator 2007
Office Communicator 2005 e Office Communicator 2007 sono client di messaggistica aziendale protetti che integrano la messaggistica immediata con la telefonia e video per la messaggistica immediata unificata. Office Communicator 2007 fornisce funzionalità che consentono l'integrazione con i programmi di Microsoft Office System 2007, tra cui Microsoft Word, Excel®, PowerPoint, OneNote, Groove e SharePoint Server.
Per ulteriori informazioni su Office Communicator 2005, vedere Office Communicator 2005 Resource Center (in inglese).
Per ulteriori informazioni su Office Communicator 2007, vedere Microsoft Office Communicator 2007 product overview (in inglese).
Office Outlook 2007
Se l'organizzazione utilizza Microsoft Office Outlook 2007, è possibile attivare la presenza come parte delle informazioni sui contatti per gli utenti presenti nell'elenco degli indirizzi generale. Una volta configurata, la presenza viene visualizzata anche nei messaggi di posta elettronica ricevuti. È possibile integrare Office Outlook 2007 con Office Communicator 2005 o Office Communicator 2007.
Per ulteriori informazioni sulla configurazione di Office Outlook 2007 per attivare la presenza, vedere http://technet2.microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Office SharePoint Server 2007
Se l'organizzazione utilizza Microsoft Office SharePoint Server 2007, è possibile attivare la presenza online per gli utenti che hanno accesso al sito di SharePoint per visualizzare quali altri partecipanti sono online e inviare loro dei messaggi immediati. La presenza online può diventare un potente strumento di collaborazione che consente ai membri del sito di scoprire rapidamente chi è disponibile per rispondere alle domande.
Per ulteriori informazioni sulla pianificazione dell'integrazione della funzionalità di presenza in Office SharePoint Server 2007, vedere Planning and architecture for Office SharePoint Server 2007 guide (in inglese).
Pianificazione della presenza e dell'infrastruttura di messaggistica immediata gestita
Una volta valutate le tecnologie che attivano la presenza all'interno dell'organizzazione, l'attività successiva consiste nel pianificare e progettare l'infrastruttura selezionata. Per attivare la presenza integrata all'interno dell'organizzazione, si richiede in genere quanto segue:
Servizio directory
Catalogo globale
DNS distribuito e configurato in maniera corretta
Infrastrutture a chiave pubblica (PKI) e autorità di certificazione (CA)
Database di backend
Una volta raggiunto il livello Razionale, questi requisiti del componente sono in genere già presenti all'interno dell'organizzazione. Il diagramma riportato di seguito fornisce un'architettura di esempio per l'infrastruttura di Live Communications Server 2005 Enterprise Edition.
Figura 10. Infrastruttura di Live Communications Server Enterprise Edition
I risultati finali della fase di stima e pianificazione portano a un piano di distribuzione e a una progettazione dell'architettura per l'infrastruttura della presenza selezionata. Per ulteriori informazioni sulla pianificazione della presenza mediante la tecnologia Microsoft, vedere Microsoft Office Live Communications Server 2005 with Service Pack 1 Planning Guide (in inglese).
Fase 4: distribuzione
Nelle fasi precedenti è stato creato un inventario delle procedure attualmente utilizzate per attivare la messaggistica immediata e la presenza, è stata stabilita una specifica dei requisiti di alto livello per l'implementazione della presenza e della messaggistica immediata gestita, è stata eseguita la valutazione della presenza e della tecnologia di messaggistica immediata e un piano di distribuzione per la soluzione selezionata. Nella fase di distribuzione viene implementata la soluzione di presenza selezionata. In seguito alla distribuzione della nuova tecnologia, è possibile che si desideri esaminare i criteri utilizzati per gestire la messaggistica immediata esistente o non gestita; ciò comprenderebbe l'implementazione di restrizione dei criteri per l'invio o la ricezione dei file, il blocco dell'installazione di nuove applicazioni o la disinstallazione delle applicazioni non gestite che non soddisfano criteri ritenuti appropriati per l'organizzazione.
Se si seleziona Live Communications Server 2005, è possibile trovare informazioni dettagliate sulla pianificazione e l'esecuzione della distribuzione in Microsoft Office Live Communications Server 2005 with Service Pack 1 Planning Guide (in inglese) di Microsoft TechNet.
Ulteriori informazioni
Per ulteriori informazioni, visitare il sito Web Microsoft TechNet ed effettuare la ricerca sulla presenza.
Per scoprire in che modo Microsoft utilizza Microsoft Office Live Communications Server 2005, andare alla pagina https://www.microsoft.com/technet/itshowcase/content/lcs2005twp.mspx.
Checkpoint: meccanismo di comunicazione protetta per la presenza
Requisiti |
|
---|---|
|
Valutati i metodi non gestiti correnti utilizzati per la presenza e la comunicazione immediata. |
|
Creata una specifica dei requisiti per la presenza e la messaggistica immediata, in linea con le normative e i criteri locali o del settore. |
|
Valutata la presenza e la tecnologia di messaggistica immediata e creato un piano per implementare la soluzione selezionata. |
|
Implementata la presenza tramite la messaggistica immediata gestita (come minimo) e, facoltativamente, tramite la collaborazione e l'infrastruttura di posta elettronica. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative al meccanismo di comunicazione protetta per la presenza del modello di ottimizzazione dell'infrastruttura.
Passare alla domanda di autovalutazione successiva.
Requisito: Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione della rete wireless
Target
È necessario leggere questa sezione se non è stata distribuita una rete wireless protetta mediante Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione.
Panoramica
La tecnologia wireless ha consentito di liberarsi dai cavi in rame. Un utente può avere a disposizione un computer notebook, un PDA, un Pocket PC, un Tablet PC o solo un telefono cellulare ed essere sempre online in qualsiasi posto in cui è disponibile un segnale wireless. La teoria alla base della tecnologia wireless è che i segnali possono essere trasmessi da onde elettromagnetiche che vengono trasmesse a loro volta a un ricevitore di segnali. Ma per consentire a due dispositivi wireless di riconoscersi sono necessari dei protocolli di comunicazione. Remote Authentication Dial-In User Service (RADIUS) è un protocollo client/server tramite cui i client RADIUS inviano le richieste di autenticazione e di accounting a un server RADIUS. Il server RADIUS controlla le credenziali di autenticazione per l'accesso remoto degli account utente e registra gli eventi relativi agli account con accesso remoto.
IAS in Windows Server 2003 o, in futuro, Server dei criteri di rete con Windows Server nome in codice "Longhorn" sono implementazioni Microsoft per i server e proxy RADIUS. In qualità di server RADIUS, IAS gestisce l'autenticazione centralizzata delle connessioni, l'autorizzazione e l'accounting per vari tipi di accesso alla rete, incluse le connessioni wireless, con commutatore di autenticazione, connessioni remote e VPN. In qualità di proxy RADIUS, IAS inoltra i messaggi di autenticazione e accounting agli altri server RADIUS. RADIUS è uno standard Internet Engineering Task Force (IETF).
Fase 1: valutazione
Nelle precedenti sezioni della presente guida e nella Guida alle risorse dell'ottimizzazione dell'infrastruttura principale per i responsabili dell'implementazione: dal livello Base al livello Standard viene descritta l'importanza di autenticare gli utenti per l'accesso all'ambiente IT. Per passare al livello Razionale occorre intraprendere i passaggi successivi ampliando l'autenticazione e l'autorizzazione agli utenti indipendentemente dal metodo da essi utilizzato per accedere alla rete.
Nella fase di valutazione si crea nuovamente un inventario contenente l'infrastruttura wireless esistente all'interno dell'organizzazione. Molte organizzazioni dispongono già di funzionalità di rete wireless. Di seguito vengono indicate le più comuni tecnologie di rete wireless:
Reti WLAN (Wireless Local Area Network)
Reti WPAN (Wireless Personal Area Network)
Reti WWAN (Wireless Wide Area Network)
Nelle sezioni che seguono viene descritto ciascun tipo di rete e le tecnologie wireless disponibili. Il modello di ottimizzazione dell'infrastruttura principale si concentra sulla rete WLAN come unico tipo di rete wireless in cui l'organizzazione può controllare attivamente l'autenticazione dell'utente o dell'oggetto.
Reti WLAN (Wireless Local Area Network)
Le tecnologie WLAN consentono connessioni di rete wireless all'interno di un'area privata, come l'ufficio o l'edificio di un'azienda, o in un'area pubblica come un aeroporto o un negozio. Le reti WLAN vengono utilizzate in genere come supplemento a un ambiente con rete LAN cablata esistente, fornendo un livello di flessibilità aggiuntivo per gli utenti della WLAN, generalmente a scapito della velocità di rete e dell'attendibilità della connessione.
Reti WPAN (Wireless Personal Area Network)
Le tecnologie WPAN sono concepite per consentire agli utenti di stabilire, se necessario, comunicazioni wireless tra dispositivi personali come PDA, telefoni cellulari o portatili. In genere, questi dispositivi sono progettati per comunicare in un'area di pochi metri, un'area definita come spazio operativo personale (POS).
Reti Wireless Wide Area Network (WWAN)
Le tecnologie WWAN sono concepite per consentire connessioni wireless su reti pubbliche o private distribuite su grandi aree geografiche, come città o paesi.
Il risultato della fase di valutazione è un elenco delle topologie WLAN esistenti in uso all'interno dell'organizzazione. Questa topologia verrà utilizzata nella fase di stima e pianificazione durante la pianificazione dei metodi per ottimizzare l'autenticazione protetta dell'utente.
Fase 2: identificazione
La fase di identificazione si concentra principalmente sull'identificazione di un metodo sicuro di autenticazione dei dispositivi connessi alla WLAN nell'intento di riflettere il livello di protezione utilizzato nell'infrastruttura LAN cablata. In questa sezione vengono introdotte le seguenti tecnologie, nonché i protocolli utilizzati per fornire un'infrastruttura di rete wireless protetta:
Autenticazione wireless mediante IEEE 802.11
Remote Authentication Dial-In User Service (RADIUS)
Extensible Authentication Protocol (EAP)
Servizio di autenticazione Internet (IAS, Internet Authentication Service)
Certificati
Per indicazioni tecniche dettagliate sull'autenticazione e i protocolli wireless, vedere Wireless Deployment Technology and Component Overview (in inglese).
Autenticazione wireless mediante IEEE 802.11
L'Institute of Electrical and Electronics Engineers, Inc. (IEEE) 802.11 rappresenta uno standard industriale per una WLAN di accesso condivisa che definisce il livello fisico e il sottolivello del controllo dell'accesso ai supporti (MAC) per le comunicazioni wireless. Lo standard IEEE 802.11 originale definiva i seguenti tipi di autenticazione, descritti nelle sezioni riportate di seguito.
Autenticazione a sistema aperto
L'autenticazione a sistema aperto non fornisce l'autenticazione, ma solo l'identificazione utilizzando l'indirizzo MAC dell'adattatore wireless. Tale autenticazione viene utilizzata quando non è richiesta alcuna autenticazione. L'autenticazione a sistema aperto è l'algoritmo di autenticazione predefinito che utilizza il seguente processo:
Il client wireless che avvia l'autenticazione invia un frame di gestione dell'autenticazione IEEE 802.11 che contiene la relativa identità.
Il nodo wireless ricevente controlla l'identità della stazione da cui è partita l'autenticazione e invia in frame di verifica dell'autenticazione.
Tramite alcuni punti di accesso, è possibile configurare gli indirizzi MAC dei client wireless utilizzando una funzionalità nota come filtro MAC. Tuttavia, il filtro MAC non fornisce alcuna protezione in quanto è possibile individuare e contraffare facilmente l'indirizzo MAC di un client wireless.
Autenticazione della chiave condivisa
L'autenticazione della chiave condivisa verifica che la stazione che avvia l'autenticazione sia a conoscenza di un segreto condiviso. Nello standard 802.11 si presume che il segreto condiviso sia inviato al punto di accesso wireless attraverso un canale protetto indipendente dall'IEEE 802.11. In pratica il segreto dell'autenticazione della chiave condivisa viene configurato manualmente sull'AP wireless e sul client wireless.
L'autenticazione della chiave condivisa utilizza il seguente processo:
Il client wireless che avvia l'autenticazione invia un frame composto da un'asserzione d'identità e una richiesta di autenticazione.
Il nodo wireless di autenticazione risponde al nodo wireless da cui è partita l'autenticazione con una richiesta di verifica.
Il nodo wireless da cui è partita l'autenticazione risponde al nodo wireless di autenticazione con una richiesta di verifica che viene crittografata mediante WEP e una chiave di crittografia derivata dal segreto di autenticazione della chiave condivisa.
Se il nodo wireless di autenticazione stabilisce che la richiesta di verifica crittografata corrisponde a quella inviata inizialmente nel secondo frame, il risultato dell'autenticazione è positivo. Il nodo wireless di autenticazione invia il risultato dell'autenticazione.
Considerato che il segreto dell'autenticazione della chiave condivisa deve essere distribuito e digitato manualmente, questo metodo di autenticazione non si applica in maniera appropriata nella modalità di rete delle infrastrutture di grandi dimensioni (ad esempio, campus aziendali e luoghi pubblici).
Remote Authentication Dial-In User Service (RADIUS)
RADIUS è un protocollo ampiamente distribuito che consente l'autenticazione centralizzata, l'autorizzazione e l'accounting per l'accesso alla rete. Sviluppato in origine per l'accesso remoto, RADIUS è attualmente supportato da punti di accesso wireless, che autenticano gli switch Ethernet, i server di reti virtuali private (VPN), i server di accesso Digital Subscriber Line (DSL) e altri server di accesso alla rete.
Extensible Authentication Protocol (EAP)
L'Extensible Authentication Protocol (EAP) è stato creato originariamente come estensione del Point-to-Point Protocol (PPP) che consente lo sviluppo di metodi arbitrari di autenticazione dell'accesso alla rete. Con protocolli di autenticazione PPP come Challenge-Handshake Authentication Protocol (CHAP), viene selezionato un meccanismo di autenticazione specifico nella fase di attivazione del collegamento. Durante la fase di autenticazione della connessione, viene quindi utilizzato il protocollo di autenticazione negoziato per convalidare la connessione. Il protocollo di autenticazione è essenzialmente una serie fissa di messaggi inviati in un ordine specifico. Con EAP, il meccanismo di autenticazione specifico non viene selezionato durante la fase di attivazione del collegamento PPP, ma ogni peer PPP avvia una negoziazione per la selezione di un meccanismo EAP specifico durante la fase di autenticazione della connessione. Una volta raggiunta la fase di autenticazione della connessione, i peer devono innanzitutto avviare una negoziazione per l'utilizzo di uno specifico schema di autenticazione EAP, noto come tipo EAP.
Servizio di autenticazione Internet (IAS, Internet Authentication Service)
IAS in Windows Server 2003 e in Windows 2000 Server è l'implementazione Microsoft di un server RADIUS, mentre per Windows Server 2003 è l'implementazione Microsoft di un proxy RADIUS. IAS esegue l'autenticazione centralizzata delle connessioni, l'autorizzazione e l'accounting per vari tipi di accesso alla rete, incluse le connessioni wireless, tramite switch di autenticazione, connessioni remote e rete privata virtuale (VPN) e connessioni da router a router. IAS consente l'utilizzo di una serie eterogenea di accessi wireless, switch, remoti o VPN e può essere utilizzato con il servizio di routing e accesso remoto di Windows Server 2003 o Windows 2000 Server.
Se un server IAS è membro di un dominio basato su Active Directory, IAS utilizza Active Directory come database di account utente e fa parte di una soluzione Single Sign-On. La stessa serie di credenziali viene utilizzata per il controllo accesso alla rete (per l'autenticazione e l'autorizzazione dell'accesso a una rete) e per accedere a un dominio basato su Active Directory.
Certificati
I certificati vengono utilizzati per autenticare un client wireless con un punto di accesso wireless. I client wireless che eseguono Windows Vista, Windows XP, Windows Server 2003, Windows Server "Longhorn" e Windows 2000 Server possono utilizzare i certificati per autenticare il computer.
Riepilogo della fase di identificazione
Per questo tipo di prerequisito, la fase di identificazione si differenzia dalle altre in particolare perché contiene molti degli aspetti utilizzati per valutare le opzioni tecnologiche per la rete wireless. Ciò avviene in parte perché i protocolli e gli standard utilizzati sono coerenti per quasi tutte le tecnologie di rete wireless. Per l'autenticazione della rete wireless protetta è necessario conoscere gli standard e i protocolli richiesti per individuare il risultato desiderato o la specifica dei requisiti. Per ulteriori informazioni, vedere le guide Wireless Deployment Technology and Component Overview (in inglese) e Wireless Networking Security (in inglese) di Microsoft TechNet.
Fase 3: stima e pianificazione
Dopo aver identificato le tecnologie e i protocolli necessari per la protezione di reti wireless e dopo aver sviluppato una specifica dei requisiti di alto livello, durante la fase di stima e pianificazione vengono valutate le tecnologie da utilizzare per pianificare e implementare un progetto di distribuzione della rete wireless.
Supponendo che gli altri requisiti del livello Razionale siano stati soddisfatti, è molto probabile che molti dei componenti necessari per l'implementazione di un'infrastruttura wireless protetta siano presenti, tra cui Windows XP SP2 o computer client più recenti e Windows 2000 Server o server più recenti.
IAS di Windows Server
IAS di Windows Server fornisce le seguenti soluzioni per le organizzazioni che richiedono l'accesso protetto alla rete:
Compatibilità con i server e i client RADIUS di qualsiasi fornitore che soddisfi le specifiche IEEE evidenziate in RFC 2865, 2866 e 2869.
Integrazione con il servizio directory di Active Directory. IAS consente di sfruttare Active Directory per l'autenticazione utente, l'autorizzazione e la configurazione client, riducendo così i costi di gestione.
Utilizzo di metodi di autenticazione avanzata basata sugli standard per l'accesso alla rete.
Gestione dell'accesso alla rete che viene affidata a un ISP. IAS consente di stabilire un accordo tra l'organizzazione e l'ISP in cui l'ISP può consentire al reparto di un utente mobile l'utilizzo della rete di quel collaboratore. In questo modo, ogni singolo collaboratore non deve necessariamente inoltrare una nota spese o creare un account mobile per collegarsi in remoto alla rete aziendale.
Gestione chiave dinamica per i punti di accesso wireless come mezzo per aumentare la protezione della rete.
I server che eseguono il componente Internet Authentication Service (IAS) dei sistemi operativi Windows 2000 Server e Windows Server 2003 eseguono l'autenticazione centralizzata, l'autorizzazione, il controllo e l'accounting per diversi tipi di accesso alla rete, tra cui l'accesso remoto, la rete privata virtuale (VPN), la rete wireless e lo switch di autenticazione 802.1x. IAS è l'implementazione Microsoft del protocollo Remote Authentication Dial-In User Service (RADIUS).
Per ulteriori informazioni, vedere Windows Server 2003 Security Guide (in inglese).
Active Directory
Quando si implementa il server IAS come membro di un dominio Active Directory, IAS utilizza il servizio directory di Active Directory come proprio database di account utente e rientra in una soluzione Single Sign-On. Mediante Single Sign-On, gli utenti forniscono le credenziali di account (nome utente e password o un certificato) una sola volta durante il processo di autenticazione e autorizzazione; tali credenziali vengono poi utilizzate per accedere a un dominio Active Directory e per il controllo accesso alla rete (autenticazione e autorizzazione dell'accesso a una rete).
Pianificazione di una rete wireless protetta
Sono due le architetture wireless principali che utilizzano le tecnologie Microsoft. Il primo metodo utilizza una IPsec VPN, mentre il secondo utilizza l'Extensible Authentication Protocol 802.1x (EAP). Lo scopo di entrambi è garantire l'autenticazione utente e l'autorizzazione e proteggere la riservatezza e l'integrità dei dati.
Autenticazione IPsec VPN
La struttura IPsec VPN si basa sul fatto che i client wireless si collegano al punto di accesso wireless aperto e che successivamente effettuano l'autenticazione tramite IPsec VPN per l'accesso all'intranet protetta dell'organizzazione.
Autenticazione 802.1x mediante EAP
È possibile utilizzare 802.1x con EAP-TLS e i certificati del computer per autenticare i client wireless e il server. Gestisce inoltre la chiave WEP inviando periodicamente e automaticamente una nuova chiave, evitando così alcune delle vulnerabilità più comuni. La riservatezza dei dati verrà protetta da queste chiavi WEP dinamiche.
Durante la creazione di un piano di implementazione, è possibile utilizzare entrambi i metodi. Per ulteriori informazioni, vedere la guida Wireless Networking Security (in inglese) di Microsoft TechNet.
Vedere inoltre le guide (in inglese) Securing Wireless LANs with PEAP and Passwords e Securing Wireless LANs with Certificate Services di Microsoft TechNet.
Fase 4: distribuzione
La procedura finale del processo prevede la distribuzione dell'accesso wireless protetto all'interno dell'organizzazione. Se è stato scelto il metodo di autenticazione 802.1x che utilizza le tecnologie Windows, è possibile trovare istruzioni dettagliate sulla distribuzione nella Deployment of Protected 802.11 Networks Using Microsoft Windows Guide (in inglese).
Ulteriori informazioni
Per ulteriori informazioni su Active Directory e IAS/RADIUS, visitare i seguenti siti Web:
È anche possibile visitare il sito Web di Microsoft TechNet ed effettuare la ricerca su "IAS" o "RADIUS".
Per scoprire in che modo Microsoft utilizza IAS, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Checkpoint: Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione della rete wireless
Requisiti |
|
---|---|
|
Identificati l'accesso wireless corrente e le topologie correlate. |
|
Valutati le tecnologie wireless, i protocolli e gli standard. |
|
Sviluppati e implementati i piani per l'infrastruttura di autenticazione wireless protetta. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità Active Directory e IAS/RADIUS per l'autenticazione e l'autorizzazione della rete wireless del modello di ottimizzazione dell'infrastruttura principale. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate in Wireless Resources for Windows XP in Microsoft TechNet (in inglese).
Passare alla domanda di autovalutazione successiva.
Requisito: servizi certificati gestiti centralmente
Target
È necessario leggere questa sezione se non si dispone di un'infrastruttura di servizi certificati gestiti centralmente o Infrastruttura a chiave pubblica (PKI, Public Key Infrastructure).
Panoramica
Le reti di computer non sono più sistemi chiusi in cui la sola presenza di un utente può servire come prova sufficiente di identità. In questo periodo storico caratterizzato dall'interconnessione delle informazioni, è possibile che la rete aziendale sia composta da intranet, siti Internet ed extranet, tutti soggetti a violazione da parte di singoli individui con intenti dannosi che desiderano entrare in possesso di informazioni presenti in svariati file di dati, dai messaggi di posta elettronica alle transazioni commerciale online. Per attenuare tali rischi, sono necessari dei meccanismi in grado di stabilire e supportare l'identità di un utente. Un'identità elettronica gestita centralmente per gli utenti consente quanto segue:
Accessibilità delle informazioni. È necessario che gli utenti autorizzati debbano poter accedere alle informazioni e che queste siano protette dall'accesso non autorizzato o da eventuali modifiche. Le password possono essere d'aiuto, ma gli utenti che dispongono di diverse password per accedere a diversi sistemi protetti scelgono in genere le password più facili da ricordare e di conseguenza da decifrare.
Non ripudio dell'identità. Le informazioni devono poter essere inviate da un utente all'altro con la garanzia che il mittente delle informazioni sia valido. È inoltre necessario fornire una garanzia che le informazioni non sono state modificate in corso d'opera.
Privacy delle informazioni. Gli utenti devono essere in grado di inviare informazioni ad altri utenti o di accedere a un computer con la certezza che le informazioni non siano accessibili o disponibili per altri. L'utente o il sistema deve poter definire chi ha l'accesso alle informazioni. La privacy è di particolare importanza quando le informazioni vengono trasmesse tramite Internet.
Tali requisiti riguardano le informazioni elettroniche e hanno un impatto diretto su gran parte delle organizzazioni. Qualsiasi meccanismo implementato per utilizzare questi requisiti deve essere gestibile e protetto. Una tecnologia appropriata in grado di soddisfare tali requisiti con l'uso di certificati digitali è rappresentata dall'infrastruttura a chiave pubblica (PKI). PKI consente lo scambio dei certificati digitali tra entità autenticate e risorse attendibili. I certificati presenti in una PKI vengono utilizzati per proteggere i dati e gestire le credenziali di identificazione delle risorse interne ed esterne all'organizzazione. Ovviamente, è necessario che la stessa PKI sia attendibile; tuttavia, viene gestita da un'organizzazione qualificata o simile. Un'organizzazione qualificata di questo tipo può essere un'autorità di certificazione (CA), ma in genere solo il computer che esegue il software certificato viene definito CA. Se la CA fa riferimento a un'organizzazione o al software che supporta la certificazione, la CA ha la responsabilità di stabilire e garantire l'identità dei possessori del certificato. Inoltre può revocare i certificati non più considerati validi e pubblicare elenchi di revoche di certificati (CRL) messi a disposizione dei responsabili della convalida per stabilire la validità di un certificato.
Questa guida utilizza procedure consigliate come indicato in Windows Server System Reference Architecture Certificate Services (in inglese).
Fase 1: valutazione
Nella fase di valutazione viene preso in esame lo stato attuale dell'ambiente di rete. Questa fase è identica alla fase di valutazione del livello Razionale nel requisito per la verifica di comunicazione protetta e garantita tra i server. Il processo di acquisizione e gestione di un archivio affidabile di computer, software e periferiche di rete di un'organizzazione rappresenta una delle sfide classiche del settore IT. Per definire lo stato attuale sono necessarie le informazioni sui seguenti argomenti:
Rilevamento della rete
Documentazione sulla segmentazione della rete
Dispositivi dell’infrastruttura di rete
Analisi del modello di traffico di rete in uso
Active Directory
Rilevamento degli host
Requisiti dei dati sugli host
Per informazioni dettagliate su come raccogliere informazioni, leggere Server and Domain Isolation Using IPsec and Group Policy Guide Chapter 3: Determining the Current State of Your IT Infrastructure (in inglese). In questa guida vengono illustrati i requisiti per ciascun elemento e viene indicato come raccogliere informazioni tramite il rilevamento automatico utilizzando SMS 2003 o prodotti simili, nonché opzioni di rilevamento manuali.
Fase 2: identificazione
Nella fase di identificazione viene definita la necessità di stabilire un'infrastruttura a chiave pubblica centralizzata. Quando un'organizzazione decide di implementare una PKI, è necessario identificare eventuali problemi commerciali prima di avviare la fase di progettazione. La fase di progettazione inizia con l'identificazione delle considerazioni relative a persone, processi e tecnologie. Le domande che portano il requisito del servizio PKI includono quanto segue:
Domande relative agli utenti:
In che modo gli utenti gestiscono i loro certificati?
Chi gestirà i certificati?
In che modo una PKI può influire sull'esperienza lavorativa di un utente?
Qual è la dimensione dell'organizzazione?
Domande relative al processo:
È necessario che la PKI sia parte dell'infrastruttura IT dell'organizzazione o che i certificati vengano acquistati da una fonte esterna?
I certificati vengono utilizzati anche per le transazioni esterne?
Qual è il processo utilizzato per la registrazione dei certificati?
In che modo viene stabilita e verificata l'attendibilità tra l'organizzazione e le entità correlate?
Con quali intervalli di tempo è necessario verificare l'attendibilità?
Quali sono i limiti che hanno un impatto sulla validità dei certificati?
Una volta annullata l'attendibilità, con quale urgenza è necessario revocare i certificati associati?
Domande relative alla tecnologia:
Quali sono i tipi di entità che richiedono dei certificati e a quale scopo?
A quale scopo è utile un servizio directory?
Quali sono le informazioni che devono essere inserite come parte dei certificati?
Quali sono le applicazioni attivate tramite PKI?
Che grado di complessità deve avere una chiave pubblica/privata; inoltre, le applicazioni che utilizzano la PKI supportano tale complessità?
Prima che in un'organizzazione venga installato il primo server CA, è necessario condurre uno studio completo sulla progettazione del servizio PKI che prenda in esame le persone, i processi e la tecnologia. A lungo andare, risulterà più difficile e costoso gestire l'estensione di una PKI scarsamente implementata che dedicare del tempo per pianificare una PKI estensibile. Per ulteriori informazioni sull'identificazione dei requisiti di alto livello della PKI, vedere WSSRA Blueprint for Enterprise Design for Certificate Services (in inglese).
Fase 3: stima e pianificazione
Nella fase di stima e pianificazione viene presa in esame la PKI e vengono stabiliti i passaggi necessari per distribuire l'infrastruttura.
Che cos'è una PKI?
Molte delle tecnologie necessarie per implementare una rete protetta richiedono una PKI, che consente lo scambio dei certificati digitali tra entità autenticate e risorse attendibili. I certificati presenti in una PKI vengono utilizzati per proteggere i dati e gestire le credenziali di identificazione delle risorse interne ed esterne all'organizzazione. Se si dispone di una PKI, chiunque sia autorizzato può richiedere dei certificati da un servizio di registrazione certificati gestito dalla CA. La CA determina la validità di chi richiede il certificato ed emette un certificato valido in risposta alla richiesta. Il possessore del certificato può utilizzare il certificato fino alla relativa scadenza o fino a quando non viene revocato; l'attendibilità di un certificato dipende dalla qualità dell'attendibilità tra un richiedente e una CA emittente. Per impostazione predefinita, due certificati utente emessi da due CA differenti non sono considerati attendibili tra loro. Per garantire che i certificati vengano considerati reciprocamente validi, è richiesta un'attendibilità comune tra le CA emittenti.
I client che dispongono di un'infrastruttura PKI utilizzano i certificati per stabilire il livello di attendibilità di una determinata risorsa. A tali fine, un'infrastruttura PKI necessita di un meccanismo di verifica per controllare la validità di un certificato. L'infrastruttura PKI di Windows Server 2003 fornisce come meccanismo di verifica degli elenchi di revoche di certificati (CRL), pertanto i client sono tecnicamente in grado di recuperare un CRL attraverso un numero di protocollo. In base alle capacità del client e all'infrastruttura di rete, è possibile preferire l'utilizzo di un protocollo rispetto ad altri; alcuni esempi di protocolli includono:
HTTP e HTTP protetta (HTTPS). HTTP e HTTPS vengono utilizzati quando gli elenchi di revoche di certificati vengono pubblicati con un server Web. Questi protocolli vengono utilizzati in genere per rendere accessibili gli CRL alle entità esterne alla rete dell'organizzazione.
LDAP. L'accesso di un CRL tramite LDAP da un servizio directory richiede maggiore larghezza di banda rispetto a recuperare lo stesso CRL tramite HTTP perché LDAP, per impostazione predefinita, richiede l'autenticazione. Anche se si utilizza l'accesso anonimo per recuperare l'elenco CRL, LDAP deve inviare un'intestazione di autenticazione anonima. Se è necessario rendere disponibile un CRL internamente ed esternamente, può risultare difficile fornire l'accesso alla directory a tutti i client tramite LDAP.
Architettura PKI
L'architettura di un'infrastruttura PKI implica l'implementazione di diverse tecnologie e processi interdipendenti che rendono possibile emettere, convalidare, rinnovare e revocare i certificati. Queste tecnologie comprendono:
Uno o più server che eseguono servizi certificati che consentono la registrazione, la revoca del certificato e altri servizi di gestione dei certificati.
Il servizio directory di Active Directory o un altro servizio directory che fornisce i servizi di gestione degli account, distribuzione dei criteri e pubblicazione dei certificati.
I controller di dominio che possono autenticare gli utenti finali e i computer quando richiedono i certificati.
Gli utenti e i computer client del dominio che richiedono, ricevono e utilizzano i certificati per scopi specifici. Sebbene i certificati possano essere utilizzati dai servizi e dai client non di dominio, nella maggior parte degli ambienti PKI di Windows, i computer e gli utenti del dominio sono i principali destinatari e utenti dei certificati. In alcuni casi, il client di dominio può essere una CA subordinata che richiede e riceve un certificato che lo autorizza a emettere autonomamente i certificati.
Nella seguente figura viene illustrata l'architettura delle tecnologie PKI.
Figura 11. Architettura delle tecnologie PKI
Questo tipo di implementazione della PKI consente il controllo centralizzato sui certificati di servizio.
Pianificazione dell'infrastruttura della CA e dell'implementazione della PKI
Le opzioni per l'infrastruttura di una CA dipendono dai requisiti di protezione e dei certificati di un'organizzazione, lo scopo della PKI e i requisiti di applicazioni, utenti e computer.
Come descritto in precedenza, i requisiti dei certificati hanno un impatto diretto sul progetto della PKI. È possibile eseguire la progettazione logica della PKI dopo aver definito il servizio PKI. Per istruzioni tecniche dettagliate sulla pianificazione dell'infrastruttura a chiave pubblica dell'organizzazione, vedere WSSRA Blueprint for Enterprise Design for Certificate Services (in inglese).
Fase 4: distribuzione
Dopo la convalida e la definizione del progetto della chiave pubblica mediante test di laboratorio e programmi pilota, è possibile distribuire l'infrastruttura PKI nel proprio ambiente di produzione. È fondamentale adottare un approccio disciplinato per distribuire una PKI al fine di stabilire la protezione delle applicazioni in uso. Nella seguente figura vengono illustrati l'infrastruttura di alto livello della CA e i processi di distribuzione della PKI.
Figura 12. Infrastruttura di alto livello della CA e processi di distribuzione della PKI
Per informazioni tecniche dettagliate sull'infrastruttura della CA e sulla distribuzione della PKI, vedere:
Windows Server 2003 Technical Library: Designing a Public Key Infrastructure (in inglese)
Windows Server 2003 Technical Library: Deploying the PKI (in inglese)
Ulteriori informazioni
Per ulteriori informazioni, visitare il sito Web Microsoft TechNet ed effettuare la ricerca sulla PKI.
Per scoprire in che modo Microsoft distribuisce l'infrastruttura PKI, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/deppkiin.mspx.
Checkpoint: servizi certificati gestiti centralmente
Requisiti |
|
---|---|
|
Eseguita un'individuazione della rete per inventariare tutti i componenti. |
|
Identificate le considerazioni relative a persone, processo e progetto tecnologico per l'Autorità di certificazione e l'infrastruttura a chiave pubblica (PKI). |
|
Creato un piano di distribuzione dettagliato per abilitare la PKI. |
|
Implementato un piano di distribuzione della PKI. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative ai servizi certificati gestiti centralmente del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per i servizi certificati.
Passare alla domanda di autovalutazione successiva.
Requisito: larghezza di banda gestita proattivamente nelle filiali
Target
È necessario leggere questa sezione se la larghezza di banda non viene gestita proattivamente nelle filiali.
Panoramica
Per garantire la comunicazione protetta, sicura ed efficace tra le sedi principali e le filiali dell'organizzazione, è necessario affrontare il problema della larghezza di banda limitata sulla Wide Area Network (WAN). Sono disponibili diversi metodi per rendere il più efficace possibile l'uso della larghezza di banda. La progettazione dell'infrastruttura della rete fisica ha un impatto significativo su altri servizi e componenti delle infrastrutture delle filiali e del sito hub. Le prestazioni e la disponibilità della rete determinano se un servizio può supportare in maniera appropriata i requisiti dell'utente per accedere ai servizi in una WAN.
Questa guida si basa sulle indicazioni pubblicate in Branch Office Infrastructure Solution for Microsoft Windows Server 2003 Release 2 (BOIS R2) (in inglese).
Fase 1: valutazione
Nelle seguenti sezioni vengono descritte le attività da svolgere durante la fase di valutazione.
Documentazione relativa al progetto di rete
Il primo passaggio nello stabilire come ottimizzare la larghezza di banda della WAN all'interno dell'organizzazione consiste nel documentare l'attuale progetto di rete dell'organizzazione per le filiali. Esistono due progetti di rete principali per le filiali: single-hub e multi-hub.
Rete Single-Hub
In una rete Single-Hub, il sito hub accede direttamente a più siti remoti. Si tratta di una struttura comune della rete WAN per le organizzazioni con più filiali, ma le filiali hanno quasi le stesse funzioni aziendali e operano nell'ambito di un unico paese o di una regione più piccola. Nella seguente figura viene illustrata una struttura di rete di esempio con un sito hub.
Figura 13. Rete Single-Hub
Rete Multi-Hub
La rete Multi-Hub fornisce generalmente almeno tre livelli di connessioni di rete. Si tratta di una struttura comune per organizzazioni di grandi dimensioni o internazionali che hanno diverse filiali con svariate funzioni aziendali. Questa struttura della WAN dispone, in genere, di un sito hub centrale per le sedi principali e di un sito hub per ogni area geografica. Nella seguente figura viene illustrata una struttura di rete di esempio con un sito hub centrale e due siti hub regionali.
Figura 14. Rete Multi-Hub
La rete Multi-Hub può essere estesa ulteriormente se le filiali sono collegate ad altre filiali. In questo caso, è importante stabilire i servizi da rendere disponibili nei siti di secondo livello. Le opzioni per tali siti includono quanto segue:
Disporre della stessa serie di servizi disponibili in locale della filiale di primo livello.
Disporre di più servizi in locale (a causa di disponibilità, capacità o prestazioni della rete insufficienti).
Disporre di un numero inferiore di servizi disponibili in locale e fare affidamento sui servizi forniti dal sito hub.
Il primo passaggio della fase di valutazione consiste nel documentare il progetto di rete dell'organizzazione per l'infrastruttura della filiale e dell'hub.
Documentazione dei collegamenti WAN
Il passaggio successivo della fase di valutazione consiste nel documentare i collegamenti WAN tra tutti i siti. Il collegamento di rete che consente l'accesso della filiale al sito hub è un componente critico per qualsiasi WAN. Il collegamento WAN può influire significativamente sulla disponibilità di tutti i servizi che richiedono l'accesso tramite la WAN. Come parte del processo di individuazione, è necessario stabilire le seguenti informazioni:
Tipo di collegamento. Si tratta di un aspetto importante della velocità di rete, del supporto per i carichi di rete e della disponibilità di rete. Il tipo di collegamento indica se la connessione è continua (come nel caso di una connessione dedicata) o su richiesta (come nel caso di connessione remota e ISDN), oltre ai protocolli utilizzati (come la rete privata virtuale o VPN, Frame Relay o satellite).
Larghezza di banda del collegamento. Si tratta della velocità massima teorica del collegamento, ma la velocità effettiva è limitata dalla latenza della rete.
Latenza del collegamento. Si tratta del tempo impiegato da un pacchetto di rete per passare da un posto a un altro, che limita il tempo minimo (quantità di ritardo) necessario per una transazione (round trip).
Capacità di collegamento. Si tratta della quantità teorica di dati aggregati che è possibile inviare attraverso un collegamento di rete. È strettamente connesso alla velocità di collegamento.
Utilizzo del collegamento. Viene espresso come percentuale della capacità totale del collegamento. L'utilizzo include tutto il traffico, comprese le transazioni in background necessarie per monitorare e gestire la rete e i servizi, altri singoli servizi e applicazioni che utilizzano la rete e funzionalità specifiche che dipendono dalla rete (ad esempio telecamere e sistemi di sicurezza e VoIP).
Segmentazione di rete nelle filiali
L'ultimo passaggio prevede la valutazione della segmentazione di rete per le filiali e la valutazione di cosa è richiesto per supportare in maniera più appropriata i servizi nella nuova soluzione.
La rete interna della filiale è stata tradizionalmente un segmento singolo di rete, noto anche come rete flat. Questo tipo di rete fornisce un'infrastruttura semplice ed economica con un semplice piano IP. Se la filiale dell'organizzazione integra segmenti singoli o multipli di rete, è necessario che questi vengano documentati come parte della valutazione.
Altre considerazioni sul progetto di rete
Oltre al collegamento di rete, ciascuna filiale richiede anche un'infrastruttura di rete che supporta tutti gli utenti nella filiale e i relativi requisiti interni di connettività. Ulteriori considerazioni sul progetto relative all'infrastruttura della filiale e ad altri componenti di rete includono quanto segue:
Posizione dei servizi centralizzati
Accesso locale a Internet
Effetti relativi alla protezione
Limiti di routing
Network Address Translation (NAT)
Riepilogo della valutazione
Al termine del primo passaggio si dovrebbe disporre di un foglio di calcolo o di un diagramma di topologia dettagliato che illustra in che modo tutti questi elementi si correlano al progetto di rete documentato nel primo passaggio. Per ulteriori informazioni sulle considerazioni di valutazione, vedere Physical Design in the BOIS R2 guide (in inglese).
Fase 2: identificazione
L'obiettivo della fase di identificazione è di determinare il livello delle prestazioni appropriato per le esigenze dell'organizzazione. Nella maggior parte dei casi l'aumento delle prestazioni porta a un aumento dei costi. In questa fase è importante valutare i costi e i vantaggi di ciascun livello delle prestazioni.
I diversi tipi e le svariate caratteristiche delle reti WAN rendono possibile fornire suggerimenti specifici su quali connessioni WAN sono più appropriate per l'organizzazione. Tuttavia, in base ai dati relativi ai clienti raccolti da diversi gruppi, è possibile generalizzare tre scenari di collegamento di rete: prestazioni di livello alto, medio e basso. L'elenco riportato di seguito descrive le caratteristiche di ognuno di questi scenari relativi alle prestazioni e le potenziali applicazioni:
Prestazioni di livello alto. Le filiali satellite richiedono generalmente collegamenti ad alte prestazioni (minimo 1,544 o 2 megabit per secondo o Mbps, a seconda della posizione), bassa latenza e alta disponibilità. Queste caratteristiche si ritrovano, di solito, nel Nord America ed entro i confini di molti paesi dell'Europa occidentale e di altri. Questo tipo di collegamento di rete può consentire alle organizzazioni di centralizzare più servizi in un sito hub rispetto ad altri scenari, semplicemente perché la riduzione dei costi di gestione dovuta allo spostamento dei servizi in una posizione centrale ha più importanza rispetto ai costi per fornire una disponibilità sufficiente. Inoltre, è possibile che la capacità e la latenza siano sufficientemente buone da non influire negativamente sulla produttività dell'utente finale. In alcuni casi, è possibile notare un miglioramento della produttività dovuto all'applicazione. Ad esempio, le applicazioni che accedono a un archivio di back-end (ad esempio un database o un computer mainframe) in un sito hub potrebbero trarre vantaggio dallo spostamento in farm dell'applicazione in un sito centrale e dall'utilizzo di Servizi terminal per accedervi. Ciò è dovuto al fatto che le transazioni più impegnative non avvengono necessariamente nella WAN e la WAN ad alta capacità supporta il livello di prestazioni che gli utenti richiedono per accedere all'applicazione.
Prestazioni di livello medio. Le filiali accelerate utilizzano generalmente collegamenti con prestazioni di livello medio (128 - 512 kilobit al secondo o Kbps), latenza media e buona disponibilità. Questi scenari si rilevano in genere in posizioni geografiche che non dispongono di infrastrutture di telecomunicazione avanzate o laddove si richiede il superamento di significativi confini geografici. Il collegamento potrebbe supportare l'accentramento dei servizi con requisiti minimi di larghezza di banda (come DNS e Active Directory), se tali servizi non presentano delle restrizioni di configurazioni o altre restrizioni che impediscono l'accentramento. Tuttavia, la disponibilità del collegamento di rete potrebbe non essere sufficiente per garantire che i servizi lasciati nelle filiali (come i servizi di file e stampa) possano accedere a tutti i servizi centralizzati da cui dipendono per la risoluzione dei nomi, l'autenticazione e l'autorizzazione. Inoltre, la latenza di questo collegamento potrebbe non garantire un'esperienza utente accettabile quando si utilizza Servizi terminal per accedere alle applicazioni centralizzate.
Prestazioni di livello basso. Le filiali autonome possono lavorare generalmente con collegamenti a prestazioni ridotte (come quelli con meno di 128 Kbps) e a latenza elevata, e sono più tolleranti rispetto all'inaffidabilità del collegamento. Uno scenario di questo tipo è presente di solito in quelle aree del mondo in cui il settore delle telecomunicazioni è significativamente sottosviluppato o dove i costi per ottenere prestazioni migliori e un collegamento di rete più disponibile sono proibitivi (ad esempio durante il collegamento a una singola filiale in una posizione molto remota). L'utilizzo di questo tipo di collegamento non porta all'accentramento dei servizi, ma semplifica il progetto di rete della filiale, in quanto tutti i servizi che supportano le funzioni della filiale critiche per l'attività dell'azienda e i servizi da cui dipendono devono essere individuati localmente nella filiale.
Al termine della fase di identificazione si ottiene un'analisi dettagliata dei risultati delle prestazioni desiderate per ogni connessione, stabilendo così la modalità con cui viene classificata ogni filiale: satellite, accelerata o autonoma.
Fase 3: stima e pianificazione
Fino ad ora sono state analizzate le esigenze relative alla topologia di rete e alle prestazioni desiderate per l'infrastruttura della filiale. Nella fase di stima e pianificazione viene valutato l'impatto dell'accentramento rispetto all'individuazione dei servizi e viene creato un piano per la gestione dei collegamenti WAN per soddisfare i requisiti delle prestazioni.
Valutazione del progetto del server fisico
Il progetto dell'infrastruttura della filiale si concentra principalmente sull'accentramento di più servizi possibili. Sebbene l'accentramento di tutti i servizi sia un obiettivo a lungo termine, è raramente effettuabile per una soluzione a breve termine. Il motivo è sicuramente rappresentato dai costi proibitivi necessari per attivare la connessione tra il computer client nella filiale e il servizio nel sito hub che dispone della disponibilità, della capacità e della latenza appropriate. Se le attuali tecnologie non supportano l'accentramento di servizi specifici, l'intento della semplificazione del progetto della filiale consiste, di solito, nel consolidare su un solo server tutti i servizi rimanenti nella filiale. Si tratta sicuramente di una sfida da dover affrontare, ma sicuramente raggiungibile in determinate situazioni.
Le considerazioni sul progetto che non si riferiscono specificatamente a un solo servizio e che devono essere applicate a tutti i servizi, includono quanto segue:
Opzioni di progettazione disponibili per semplificare le infrastrutture della filiale.
Considerazioni sul posizionamento del servizio della filiale, comprese le implicazioni generali relative al posizionamento del servizio su persone, processi e sull'azienda stessa.
Altre considerazioni sulla progettazione, in particolare quelle relative agli utenti e alla funzionalità aziendale, che non sono specifiche al posizionamento del servizio.
Opzioni di progettazione per le infrastrutture delle filiali
La definizione delle infrastrutture delle filiali richiede l'analisi delle opzioni e delle implicazioni implicite alla distribuzione centrale e locale dei servizi. Le due decisioni da prendere per ciascuna filiale richiedono la valutazione di molte opzioni di progettazione.
Opzioni di accentramento dei servizi
Le opzioni principali disponibili per l'accentramento dei servizi comprendono l'esecuzione del servizio:
Solo nella filiale (senza alcun failover).
Nella filiale con failover sul sito hub se questo dispone di capacità di replica.
Solo nel sito hub.
Opzioni di progettazione del server della filiale
È ancora possibile semplificare i servizi che non possono essere accentrati dal consolidamento del servizio su uno o più server di filiale. La progettazione del server di filiale deve soffermarsi su come ottimizzare l'uso di hardware, software e il supporto (incluso l'uso di risorse personali) in ogni filiale.
Le guide (in inglese) Solution Accelerator for Consolidating and Migrating LOB Applications e Mixed Workload Consolidation Guide forniscono istruzioni dettagliate per la determinazione delle applicazioni da consolidare. La guida Solution Accelerator for Consolidating and Migrating LOB Applications fornisce inoltre delle indicazioni sull'identificazione di soluzioni appropriate per le applicazioni non adatte per il consolidamento.
Nel seguente elenco vengono riepilogate le opzioni principali per l'esecuzione delle applicazioni nei siti delle filiali:
Consolidamento server singolo
Consolidamento del servizio
Consolidamento virtualizzato
Server dedicato
L'opzione che si sceglie per ciascun servizio determina il numero di filiali richieste.
Considerazioni sul posizionamento della filiale
Ciascuna organizzazione ha delle priorità che impongono quali sono i requisiti più significativi e, di conseguenza, quali di questi avranno il massimo impatto sulla progettazione della soluzione per l'infrastruttura della filiale. Come parte dei precedenti risultati delle analisi durante la fase di pianificazione del progetto, è necessario che siano stati identificati i requisiti tecnici e aziendali,nonché altri requisiti e limitazioni che influiscono sul posizionamento dei servizi.
Queste informazioni sono necessarie per valutare efficacemente le opzioni e gli svantaggi per ogni filiale, le considerazioni generali sul progetto e le considerazioni specifiche del servizio evidenziate nel seguente elenco:
Organizzazione IT
Considerazioni politiche
Considerazioni legali e normative
Protezione
Disponibilità e affidabilità, tra cui:
Accentramento dei servizi
Consolidamento e coesistenza dei servizi in una filiale
Server non ridondante nella filiale
Ridondanza del servizio della filiale
Server singolo per servizi locali, con ridondanza locale e clustering dei servizi di Windows
Backup e recupero
Prestazioni e capacità
Scalabilità
Costo
Pianificazione dei servizi della filiale
BOIS R2 ha introdotto una nuova tecnica di progettazione da utilizzare per fornire un approccio comune e ripetibile alla progettazione del servizio dell'infrastruttura in un'organizzazione, per le filiali o per altri servizi IT. Questa tecnica utilizza i diagrammi di riferimento alla progettazione del servizio (SDR) e tre elementi di progettazione fondamentali per illustrare il processo di progettazione relativo a ciascun servizio. Questi elementi sono:
Fasi della progettazione
Considerazioni sulla progettazione
Opzioni di progettazione
Nella seguente figura viene illustrata una versione generica del riferimento alla progettazione del servizio che viene utilizzata per visualizzare gli elementi di tale approccio.
Figura 15. Versione generica di riferimento alla progettazione di un servizio
In ogni fase della progettazione, è necessario utilizzare le considerazioni e le opzioni per determinare se il progetto di input soddisferà i requisiti del nuovo progetto e se il modello può essere modificato per soddisfare i nuovi requisiti.
La pianificazione dettagliata è necessaria per garantire che l'uso della larghezza di banda della WAN sia ottimizzato dal servizio principale della filiale. Questi servizi sono noti come servizi principali perché forniscono l'infrastruttura di base per un ambiente di filiale che può essere migliorato o esteso al fine di aumentare le funzionalità di una soluzione. Questi servizi principali sono:
Servizio directory
Indirizzo di rete e servizi di risoluzione dei nomi
Servizi di file
Servizi di stampa
Servizi client principali
Servizi di gestione principali
Per informazioni dettagliate sulla progettazione dei servizi principali per le filiali, vedere Core Branch Service Design in BOIS R2 (in inglese).
File system distribuito
Le tecnologie di File system distribuito (DFS) in Windows Server 2003 R2 offrono la replica semplice della WAN oltre a un accesso semplificato, a tolleranza d'errore, ai file sparsi in tutto il mondo. Le due tecnologie di DFS sono:
Replica DFS. Nuovo motore di replica con stato, multimaster che viene ottimizzato per gli ambienti WAN. La replica DFS supporta la pianificazione della replica, l'accelerazione della larghezza di banda e un nuovo algoritmo di compressione a livello di byte noto come compressione differenziale remota (RDC, Remote Differential Compression).
Spazio dei nomi DFS. Tecnologia che consente agli amministratori di raggruppare server differenti e presentarli agli utenti come una struttura di cartelle virtuale nota come spazio dei nomi. Spazio dei nomi DFS era precedentemente noto come File system distribuito in Windows 2000 Server e Windows Server 2003.
Riepilogo di stima e pianificazione
Non esiste un unico passaggio o consiglio per ottimizzare la larghezza di banda WAN in ogni organizzazione, in quanto ciascuna di esse dispone di considerazioni univoche durante la gestione della rispettiva WAN. Al termine della fase di stima e pianificazione, l'obiettivo è quello di identificare le opportunità esistenti per consolidare i servizi e avere una migliore conoscenza dell'attuale topologia di rete, al fine di poter gestire in modo proattivo la larghezza di banda WAN.
Fase 4: distribuzione
Una volta identificate le architetture appropriate e stabilito un equilibrio tra i servizi centralizzati e i servizi localizzati per le filiali al fine di ottimizzare i limiti del collegamento WAN, nella fase di distribuzione vengono implementati i suggerimenti derivanti dalla pianificazione e dall'architettura della filiale. A seconda dei suggerimenti, la fase di distribuzione può portare, ad esempio, a un ulteriore accentramento dei servizi e, con tali modifiche, i collegamenti WAN verranno regolati in maniera appropriata. Come parte del processo di distribuzione, è possibile scrivere un criterio standard per riesaminare i requisiti del collegamento WAN e l'infrastruttura della filiale a intervalli regolari o in corrispondenza di dati, prestazioni o limiti di personale prestabiliti.
Ulteriori informazioni
Per ulteriori informazioni, visitare il sito Web Microsoft TechNet ed effettuare la ricerca sulla gestione della larghezza di banda.
Per scoprire in che modo Microsoft gestisce la larghezza di banda WAN, andare all'indirizzo https://www.microsoft.com/technet/itshowcase/content/optbwcs.mspx.
Checkpoint: larghezza di banda gestita proattivamente nelle filiali
Requisiti |
|
---|---|
|
Identificata e documentata la topologia di filiali. |
|
Creata la specifica dei requisiti in base alle esigenze di tutti i tipi di filiale. |
|
Creati un piano e un'architettura per il consolidamento dei servizi delle filiali e identificate le soglie delle prestazioni per il riesame dei requisiti WAN delle filiali. |
|
Implementato un piano per ottimizzare i servizi delle filiali in base ai limiti del collegamento WAN. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del livello Razionale per le funzionalità relative alla larghezza di banda gestita proattivamente nelle filiali del modello di ottimizzazione dell'infrastruttura. Si consiglia di seguire le indicazioni fornite dalle ulteriori risorse delle procedure consigliate per la gestione della larghezza di banda.
Passare alla domanda di autovalutazione successiva.