Microsoft Forefront: Acesso seguro aos serviços em nuvem

  • Artigo

Você pode fornecer acesso seguro aos serviços em nuvem enquanto mantém a continuidade dos negócios usando o Forefront Threat Management Gateway 2010.

Yuri Diogenes

Ainda existem preocupações sobre a mudança para a computação em nuvem. A segurança está no topo da lista. Ao planejar a migração da sua empresa para a nuvem, você deseja garantir que os seus negócios atuais não sejam interrompidos. Os seus usuários precisam ter acesso contínuo aos seus aplicativos de negócios — agora hospedados em serviços em nuvem — e de uma maneira segura e altamente disponível.

Existem outras preocupações também. E se todos os meus clientes internos não puderem acessar a nuvem? Agora que o meu sistema de email está na nuvem, o que acontecerá se houver uma interrupção no acesso à Internet? Uma vez que mais pessoas precisam estar conectadas à Internet para acessar nossos serviços na nuvem, o que devemos fazer para garantir a segurança e a produtividade? Essas são perguntas comuns quando você planeja a sua migração para a nuvem. As respostas irão moldar a futura implantação para a empresa.

Embora a segurança e a disponibilidade sejam as maiores preocupações das empresas que estão mudando para a nuvem, a economia de custos certamente é o maior impulsionador. A computação em nuvem pode ajudar você a conseguir economia de custo de novas maneiras, como adotar um esquema de “pagamento por uso” ou reduzir os custos do recurso de data center.

A maioria das empresas precisa conseguir aumentar ou diminuir a sua capacidade rapidamente, proporcionar uma experiência avançada em todos os dispositivos (inclusive PCs, dispositivos móveis e navegadores) e alinhar essas necessidades sem comprometer a segurança dos dados. O Forefront Threat Management Gateway (TMG) 2010 pode ajudar você a acessar com segurança os serviços em nuvem e as ferramentas de produtividade que você e a sua comunidade de usuários precisam para dar continuidade aos negócios.

Mudando para a nuvem

Para a maioria das empresas, a migração para a nuvem começa com a mudança de várias funções de negócios, como as ferramentas de produtividade. Isso inclui email, sites de colaboração em equipe, sistema de mensagens instantâneas/videoconferência e aplicativos de criação de conteúdo. Essas ferramentas de produtividade é que fazem o seu negócio funcionar. Elas são o centro do seu negócio e precisam estar sempre disponíveis, independentemente de o seu usuário estar trabalhando em sua mesa ou remotamente em um hotel ou no local de um cliente (veja a Figura 1).

Figure 1 Office 365 is the Microsoft Cloud solution for business productivity

Figura 1 O Office 365 é a solução de nuvem da Microsoft para produtividade da empresa

Vamos examinar uma situação hipotética usando uma empresa fictícia chamada Contoso. Vamos acompanhar a Contoso nas etapas de planejamento e migração para a nuvem. A empresa está planejando mudar todas as suas ferramentas de produtividade empresarial para a nuvem. A primeira fase do projeto é usar o Exchange Online para mudar para a nuvem o sistema de email dos funcionários localizados nos Estados Unidos.

Esta primeira fase possui quatro pré-requisitos principais (veja a Figura 2):

  • Os usuários internos não deverão ser afetados se a conexão com a Internet do ISP atual for perdida
  • Os usuários que estiverem acessando seu sistema de email na nuvem devem ser protegidos contra possíveis ameaças provenientes da Internet
  • A empresa pode impor uma política de segurança central nas filiais remotas
  • Os usuários devem ser impedidos de acessar sites não permitidos pela política de segurança da empresa

Figure 2 These four pillars must be in place for the first phase

Figura 2 Estes quatro pilares devem estar prontos para a primeira fase

Alta disponibilidade

O Forefront TMG 2010 pode atender aos requisitos da Contoso para a Fase 1 da migração (veja a Figura 3). Para atender aos requisitos de alta disponibilidade, use os seguintes recursos do Forefront TMG 2010:

  • Redundância de ISP: a Contoso pode ter acesso à Internet mesmo que o provedor ISP atual esteja desativado. Para conseguir isso, será necessário outro caminho para a Internet, geralmente por meio de outro ISP.
  • Balanceamento de Carga de Rede (NLB) integrado: com a integração do NLB ao Forefront TMG, agora você não só pode carregar o tráfego entre os nós NLB, como também pode garantir uma entrega bem-sucedida entre um nó e outro, caso um deles seja desativado.

Figure 3 Leveraging the high-availability features in Forefront TMG 2010

Figura 3 Utilizando os recursos de alta disponibilidade no Forefront TMG 2010

Manter a segurança

Os serviços do Exchange Online incluem recursos antivírus e anti-spam. Ainda assim, a Contoso deseja garantir que seus usuários estejam protegidos quando navegarem por sites originados pelo sistema de email, então está usando uma abordagem multicamada (veja a Figura 4).

Figure 4 Leveraging Forefront TMG 2010 HTTPS Inspection feature to protect on-premises resources

Figura 4 Utilizando o recurso de inspeção HTTPS do Forefront TMG 2010 para proteger recursos locais

Esta abordagem multicamada permite que você utilize o poder da nuvem enquanto protege o cliente local contra possíveis ameaças provenientes da Internet:

  • Um usuário remoto envia um email para um cliente nas instalações da Contoso
  • Essa mensagem está infectada com um vírus e o antivírus do Exchange Online limpa a mensagem
  • Uma notificação de chegada de uma nova mensagem aparece na caixa de correio do cliente
  • O usuário lê a mensagem e vê que existe um link para baixar o relatório mais recente do site de um parceiro. O usuário final identifica que é um link para um site seguro (usando HTTPS) e considera seguro baixar o relatório.
  • O recurso de inspeção HTTPS do Forefront TMG analisa o tráfego, valida o certificado e passa a inspeção para o mecanismo de inspeção de malware analisar o arquivo que o usuário está tentando baixar. O mecanismo de inspeção de malware identifica esse arquivo como infectado e notifica o cliente de que o arquivo não pode ser aberto, pois está infectado com um vírus.

Impor a política

Esta primeira fase da migração da Contoso abrange somente os usuários localizados nos Estados Unidos. Devido à autonomia de cada filial para as operações diárias, a empresa precisa permitir que as filiais locais tenham o controle do seu próprio tráfego. Ela também precisa fazer isso embora vinculada a regras e políticas da empresa. Para atingir esse objetivo, use o Forefront TMG 2010 com um cenário de várias matrizes e imponha as políticas da empresa no nível empresarial (veja a Figura 5).

Figure 5 Allowing autonomy to each branch office while maintaining central company policy enforcement

Figura 5 Permitindo autonomia a cada filial enquanto mantém a imposição centralizada da política da empresa

Esse modelo fornece uma visão central do gerenciamento de todas as matrizes da empresa. Ele também ajuda na imposição da política corporativa. Quando você aplica alterações à política de firewall ou às regras de rede, o Forefront TMG garante que todas as conexões de cliente existentes sigam a nova política ou as novas regras. Ele também terminará as conexões que não forem permitidas.

Preservar a produtividade

Um trabalhador que está usando o novo sistema de email deve ficar concentrado na produtividade; portanto, você precisa minimizar as possíveis distrações. Também é necessário bloquear os usuários contra sites mal-intencionados, de acordo com a política da empresa. O recurso de filtragem de URL do Forefront TMG 2010 utiliza um serviço com base em nuvem chamado Serviço de Reputação da Microsoft para categorizar as URLs que um usuário está tentando acessar (veja a Figura 6).

Figure 6 Using Forefront TMG 2010 URL Filtering to improve information worker experience

Figura 6 Usando a filtragem de URL do Forefront TMG 2010 para aprimorar a experiência do operador de informações

Veja como o processo funciona:

  • Um usuário remoto envia um email para um cliente localizado nas instalações da Contoso
  • A mensagem está infectada com um vírus e o antivírus do Exchange Online limpa a mensagem
  • Uma notificação de nova mensagem aparece na caixa de correio do cliente local. O cliente lê a mensagem e vê que existe um link para acessar o novo portfólio de um parceiro, que inclui um negócio de jogo
  • O recurso de filtragem do Forefront TMG avalia a URL e consulta o banco de dados do Serviço de Reputação da Microsoft para verificar se a categoria dessa URL corresponde a “jogo”, o que não é permitido pela política da empresa
  • O Forefront TMG bloqueia o acesso a esse site e informa ao usuário o motivo do bloqueio

Se o funcionário achar que esse site não deveria ter sido bloqueado, ele poderá navegar temporariamente no site e notificar o administrador de que o site estava classificado erroneamente.

Existem outros recursos no Forefront TMG que podem ajudar em cenários de implantação na nuvem. O armazenamento em cache é um exemplo. O Forefront TMG pode armazenar em cache os dados HTTP e HTTPS dos seus aplicativos na nuvem. Isso economiza largura de banda e melhora a experiência do usuário com o aprimoramento da latência das solicitações em nuvem.

O Forefront TMG também pode ajudar nas implantações em nuvem integrando seu recurso BranchCache ao Windows Server 2008 R2. Para demonstrar isso, vamos supor que a segunda fase da migração da Contoso para a nuvem inclua o Office Web Plus para clientes localizados em algumas filiais (veja a Figura 7).

Figure 7 Using the Forefront TMG 2010 BranchCache capability to assist cloud migration of resources located in the branch office

Figura 7 Usando o recurso BranchCache do Forefront TMG 2010 para ajudar a migração de recursos localizados na filial para a nuvem

Aqui está uma descrição de como o BranchCache pode ajudar nos serviços em nuvem da filial remota:

  • Um cliente da filial envia uma solicitação ao Forefront TMG para acessar os Office Web Apps
  • O Forefront TMG avalia se os dados solicitados estão localizados no cache local. Se não estiverem, o Forefront TMG enviará a solicitação ao Forefront TMG do escritório principal
  • O Forefront TMG do escritório principal recupera os dados da nuvem e os envia para o Forefront TMG downstream localizado na filial
  • O Forefront TMG da filial armazena os dados no cache local e os envia para a estação de trabalho do cliente que fez a solicitação
  • Outra estação de trabalho cliente também localizada na filial solicita os mesmos dados
  • O Forefront TMG avalia a solicitação, verifica que esses dados estão localizados no cache e fornece o conteúdo diretamente ao cliente

Como você pode ver, quanto mais clientes estiverem usando objetos baseados na nuvem, mais o cache aumentará. Esses objetos serão acessados muitas vezes durante o dia. Com o Forefront TMG armazenando esses objetos em cache, a empresa pode economizar largura de banda e ao mesmo tempo aumentar a velocidade de acesso.

Embora a segurança continue sendo a principal preocupação das empresas que estão considerando uma mudança para a nuvem, o Forefront TMG 2010 pode fornecer um gateway da Web seguro. Com as preocupações sobre segurança resolvidas, você pode se concentrar no real motivo da mudança da sua empresa para a nuvem em primeiro lugar: economia de custos.

Yuri Diogenese

Yuri Diogenes (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP e MCT) trabalha para a Microsoft como engenheiro sênior de escalonamento de suporte de segurança na Equipe do CSS Forefront Edge, com base em Irving, Texas. Diogenes é responsável por gerenciar os escalonamentos do TMG/ISA e trabalha junto com a Equipe do produto TMG para abrir bugs e arquivar solicitações de alteração de design em benefício dos clientes da Microsoft. Diogenes é coautor do livro “Microsoft Forefront Threat Management Gateway Administrator’s Companion” (Microsoft Press, 2010) e de outros títulos sobre o Microsoft Forefront. Ele também escreve artigos para o Blog da equipe do TMG, para a TechNet Magazine e para o seu blog pessoal.

 

Conteúdo relacionado