• Artikel
 

TechNet Experternas arena
Artiklar och krönikor

 

Anders Olsson


   

Hur ska it hantera alla nya enheter i vår infrastruktur?

Något har faktiskt förändrats i vår it-infrastruktur.

Tidigare har det varit it som har beslutat exakt vilka enheter som får anslutas i miljön och man har sagt nej till allt som varit utanför ramarna.

Idag har antalet nya enheter, så som smartphones och surfplattor ökat och därmed har vi också fått fler användare som tidigare inte varit så aktiva på nätverket. Det är inte ovanligt att det är självaste vd:n på företaget som meddelar it att ”nu skall jag kunna koppla in just den här enheten, ert jobb är att få det att fungera!”.

Ett vanligt scenario här är att man öppnar upp allt för dessa enheter och helt plötsligt finns det mer begränsningar på managerade datorer som it har mest kontroll på, vilket är väldigt underligt. Samtidigt kan dessa enheter oftast inte användas i arbetet för att man inte når någon information.

Det finns flera tekniska lösningar från Microsoft som faktiskt löser den här problematiken, några exempel är följande.

 

Möjligheten att koppla in ALLA typer av enheter i nätet?

Istället för att skapa olika typer av nät, se till att skydda företagets information och servrar.

Med hjälp av Server and Domain Isolation (SDI) avgör du vilka maskiner som kan se servrarna i nätet och tillsammans med Network Access Protection (NAP) kan du komplettera lösningen genom att hälsovalidera klienter. På det här sättet kan du ställa in att en medlemsdator med exempelvis uppdaterat antivirus når alla servrar, en annan medlemsdator når några enstaka servrar och en främmande enhet saknar helt visuell kontakt med de flesta av företagets servrar.  

 

Skydda ALLA enheter genom att begränsa Internettrafik

Med hjälp av Forefront Threat Management Gateway (TMG) kan man inspektera all internettrafik och skydda alla interna klienter från externa hot. Till och med krypterad HTTPS trafik kan inspekteras, alla filer som laddas ner över internet virusscannas innan de kommer ner till klienten. Ett URL kategoriseringsfilter ger spårbarhet och begränsar suspekta hemsidor.

Det här är funktioner som sker på nätverksnivå vilket resulterar i att det fungerar för alla typer av klienter.

För att få en så arbetsvänlig och säker miljö som möjligt kan man på det här sättet styra att självklara URL-kategorier så som porr och phishing siter är blockerade för alla oavsett enhet, vissa kategorier kräver autentisering för att få spårbarhet medan vissa kategorier är helt öppna för alla enheter. Med hjälp av den här funktionen tillsammans med virusscanning och intrångsskydd höjer vi säkerheten för alla interna enheter samtidigt som vi behåller användarvänligheten.  

 

Distansarbete för ALLA typer av enheter

En annan utmaning är att ge tillgång till viss företagsinformation för dessa enheter för att användaren ska kunna använda dessa i jobbet oavsett om de är på arbetsplatsen eller på hemmaplan.

Först och främst är det här en strategisk fråga där man får överväga vilken företagsinformation som skall vara nåbar även på omanagerade enheter.

Med hjälp av Forefront Unified Access Gateway (UAG) kan vi nämligen avgöra vilken information som skall vara synlig och nåbar för vilken enhet.

Våra managerade Windows 7-maskiner kör naturligtvis DirectAccess, en teknik som gör att it kan managera klienten var den än befinner sig och klienten kan jobba som vanligt så länge den har en internetuppkoppling. Även här kan vi nyttja NAP SDI för att säkerhetsgranska klienten och utefter detta ge den rätt tillgång till företagstjänster.

För icke managerade klienter finns det flera möjligheter, vanligaste är UAGs portallösning där man via en webbläsare kan nå interna tjänster och även här kan man basera vilken information som syns för vilken enhet. Bland annat supporteras webbläsare som Safari och Firefox vilket gör att vi stödjer flera funktioner både för Android och Ipad.

Sammanfattningsvis handlar det helt enkelt för it om att kunna säga JA till alla enheter, men att då också ta ansvar för dessa. En tydlig trend är att stödet för tredjeparts-produkter blir större och större från Microsofts sida.

Något som jag personligen reagerar på är att de flesta funktionerna som jag beskriver ovan har redan många företag betalat för i sina licensavtal, men nyttjandegraden av funktionaliteten är minimal. Här finns det pengar att spara, samtidigt som vi ger bättre säkerhet och arbetsklimat för våra användare och administratörer.  



Med vänlig hälsning,

Anders Olsson | Microsoft Security Consultant, Onevinn
Forefront MVP
Medlem i Microsoft Extended Expert Team

5 oktober 2011

Fler krönikor från Anders Olsson
 

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.