Microsoft Forefront: logro de la defensa a fondo con Forefront
Con las múltiples capas y modos de protección que ofrece Microsoft Forefront, puede configurar su protección para que se ajuste con precisión a sus necesidades.
William Stanek
Correo no deseado, virus, correo de suplantación de identidad (phishing), malware… afuera es una jungla. Los tipos malos quieren entrar y las herramientas y técnicas de supervivencia de seguridad de ayer son insuficientes por sí solas. Para mantenerse un paso adelante, necesita reacondicionar y volver a pensar. Ahí es donde Microsoft Forefront puede ayudar.
Forefront es un conjunto de productos multicapa que brinda soluciones de administración y protección de identidad de nivel empresarial. Intentar navegar en el laberinto de ofertas de Forefront puede ser intimidante, dado el cambiante paisaje de productos y dado que Forefront ofrece lo que me gusta llamar “defensa a fondo al cuadrado” (DiD2).
Aunque ha habido algunos cambios, los productos individuales en el conjunto Forefront ahora incluyen:
- Forefront for Office Communications Server 2007 R2
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 para Exchange Server
- Forefront Protection 2010 para SharePoint
Es una línea impresionante, especialmente cuando se agrega la eliminación de ofertas relacionadas y la introducción de éstas, que incluyen:
- Identity Lifecycle Manager 2007
- Forefront Client Security
- ISA Server 2006
- Intelligent Access Gateway 2007
- Office Communications Server 2007
- Forefront Security para Office Communications Server
Los reemplazos
Lync Server reemplaza a Office Communications Server 2007. Lync Server es una plataforma de comunicaciones unificada (UC) que ofrece características de presencia, conferencias y mensajería instantánea, así como características de voz de nivel empresarial que mejoran o reemplazan los sistemas PBX tradicionales.
Forefront Protection 2010 for Lync Server se instala en los servidores internos para proteger el entorno de UC. Forefront Protection protege la presencia, las conferencias y la mensajería instantánea mediante motores de detección y filtros que bloquean el contenido que no cumple con las directivas, y filtra malware y correo no deseado.
Forefront Identity Manager 2010 reemplaza a Identity Lifecycle Manager 2007. Forefront Identity Manager es un sistema de administración de directiva unificada para controlar identidades de usuario, niveles de acceso de usuarios, recursos y credenciales. Está diseñado para entornos heterogéneos, de manera que los propietarios de las empresas y TI puedan usar el producto para asegurar que todos los sistemas empresariales (incluidas las aplicaciones de línea de negocio (LOB), bases de datos y directorios) se adhieran al mismo conjunto de directivas. Forefront Identity Manager (consulte la ilustración 1) se centra en:
- Administración de usuarios: acceso y recursos de aprovisionamiento y cancelación de aprovisionamiento de usuarios
- Administración de credenciales: administración y sincronización de credenciales entre sistemas
- Administración de grupo: administración de grupos de seguridad y listas de distribución
- Administración de directivas: creación y aplicación de directivas entre sistemas
.jpg)
Ilustración 1 Forefront Identity Manager 2010 de un vistazo
Forefront Endpoint Protection 2010 es una solución integrada para administrar y proteger extremos de red. Un equipo de extremo es simplemente un cliente o servidor que es parte de la empresa y no se usa generalmente como puesto de enlace o punto de entrada. Forefront Endpoint Protection reemplaza a Forefront Client Security y está compilado en System Center Configuration Manager 2007.
Forefront Endpoint Protection usa la infraestructura de Administrador de configuración para implementar y administrar la protección de los extremos. Tiene dos componentes principales: agentes de seguridad y servidores de administración (consulte la ilustración 2). Los agentes de seguridad se ejecutan en los equipos de extremo, proporcionando protección en tiempo real de todos los tipos de malware, así como detectando amenazas en un programa predeterminado. Los servidores de administración permiten centralizar la implementación y la administración de la protección.
.jpg)
Ilustración 2 Forefront Endpoint Protection 2010 tiene dos componentes principales
Forefront Threat Management Gateway (TMG) 2010 reemplaza a ISA Server 2006. Forefront TMG es una puerta de enlace web segura para protección en contra de amenazas basadas en web. El servidor actúa como un firewall de administración de amenazas y ofrece filtrado de URL, detección de malware, prevención de intrusiones e inspección de HTTP/HTTPS. La inspección de HTTPS (consulte la ilustración 3) permite que Forefront TMG inspeccione tráfico web cifrado con SSL durante su transporte para asegurarse de que cumpla con la directiva de seguridad. Esto facilita la detección de malware y limita el uso de la Web a los sitios aprobados, a la vez que excluye de inspección ciertos sitios sensibles, como sitios de banca. La ilustración 3 ofrece una visión general de cómo funciona este proceso.
Forefront TMG puede actuar como extremo de red privada virtual (VPN), lo que habilita VPN de sitio a sitio y permite que clientes de VPN de acceso remoto terminen en el servidor de TMG. También puede inspeccionar tráfico VPN que termine en el servidor TMG para asegurar que cumpla con la directiva de seguridad. El proceso funciona de manera similar a la inspección de HTTPS. El servidor TMG también puede actuar como el servidor de caché hospedada para una sucursal para simplificar la implementación de BranchCache. El mismo servidor también puede ser el controlador de dominio de sólo lectura de la sucursal.
.jpg)
Ilustración 3 Inspección de HTTPS con Forefront Threat Management Gateway 2010
Cuidado con el correo
Forefront ofrece una vigorosa protección de servidor Exchange:
- Forefront Online Protection for Exchange Server protege el uso de correo electrónico entrante y saliente mediante motores de detección y filtros hospedados fuera de las instalaciones, que bloquean contenido contrario a las directivas y filtran malware y correo no deseado antes de que llegue a los servidores Exchange empresariales
- Forefront Protection 2010 for Exchange Server protege correo electrónico entrante y saliente hacia servidores Exchange locales mediante motores de detección y filtros instalados localmente para bloquear contenido que no cumple con las directivas y filtrar malware y correo no deseado
La solución hospedada fuera de las instalaciones no requiere instalación de hardware o software, y viene como uno de los servicios Microsoft Online Services. Esta solución se puede usar con mensajería local hospedada o Exchange Online. De cualquier forma ayuda a filtrar mensajes antes de que lleguen a las bandejas de entrada.
La solución local está destinada a uso con mensajería Exchange local. Se debe instalar en servidores Edge, Hub, de Buzón de correo y Carpeta pública. Filtrará mensajes mientras se encuentren en tránsito y antes de que se entreguen. Cuando se usa con la solución hospedada, crea una secuencia con seguridad mejorada entre su entorno de mensajería local y la solución fuera de las instalaciones.
Los motores de detección y los filtros son el corazón de ambos productos. Ambos usan varios motores de detección y filtros para asegurar que si un motor falla o se queda sin conexión para actualizaciones, se continuará bloqueando correo no deseado, datos adjuntos peligrosos y otro contenido no deseado. Se examinan mensajes en tiempo real mientras se transportan a través de servidores Edge y Hub y en el almacenamiento de los servidores de Buzón de correo y Carpeta pública (consulte la ilustración 4).
.jpg)
Ilustración 4 Detección de mensajes con Forefront Protection 2010 for Exchange Server
Forefront Unified Access Gateway (UAG) 2010 reemplaza a Intelligent Access Gateway 2007. Forefront UAG ofrece a los clientes remotos acceso seguro a aplicaciones, recursos y redes empresariales. Gracias a Forefront UAG, se pueden publicar aplicaciones web y no web de manera de poder tener acceso a ellas en forma remota a través de HTTP o HTTPS. Las aplicaciones publicadas pueden incluir aplicaciones Microsoft, aplicaciones de LOB y RemoteApps disponibles con Servicios de Escritorio remoto (consulte la ilustración 5). También puede configurar Forefront UAG como servidor de DirectAccess para conectar clientes directamente a recursos internos sin necesidad de conexión a VPN.
.jpg)
Ilustración 5 Publicación de aplicaciones para acceso externo con Forefront Unified Access Gateway 2010
La última solución Forefront es Forefront Protection 2010 para SharePoint. Forefront Protection 2010 para SharePoint ofrece protección multicapa para documentos almacenados y compartidos en bibliotecas de SharePoint. Instala motores de detección y filtros en servidores SharePoint para prevenir que los usuarios carguen o descargan archivos que contengan virus, malware u otro tipo de contenido malintencionado. Se pueden configurar directivas para proteger información confidencial, como también para bloquear contenido inadecuado.
Ésta fue una completa introducción a Forefront y a la familia de productos relacionados. Básicamente, Forefront ofrece protección DiD2 para equipos de extremo, servidores de comunicación y colaboración y redes empresariales.
La siguiente es una lista exhaustiva de la familia de productos Forefront:
- Forefront Protection 2010 for Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 para Exchange Server
- Forefront Protection 2010 para SharePoint
.jpg)
William R. Stanek es experto líder en tecnología, un excelente instructor y el galardonado autor de más de 100 libros. Siga a Stanek en Twitter en https://twitter.com/williamstanek.