Microsoft Forefront: Acceso seguro a sus servicios en la nube

Usted puede proporcionar acceso seguro a los servicios en la nube mientras mantiene la continuidad comercial usando Forefront Threat Management Gateway 2010.

Yuri Diogenes

Aún existe preocupación sobre el cambio a la informática en nube. La seguridad tiene el primer lugar de la lista. A medida que se planea la migración de la compañía a la nube, querrá asegurarse que los negocios no se interrumpan. Los usuarios necesitan un acceso continuo a sus aplicaciones empresariales, que ahora se hospedan en servicios en la nube y en una manera segura y altamente disponible.

También existen otras preocupaciones. ¿Qué pasa si mis clientes internos no pueden tener acceso a la nube? Ahora que mi sistema de correo electrónico está en la nube, ¿que ocurrirá si se interrumpe el acceso a Internet? A medida que es necesario que haya más gente conectada a Internet para tener acceso a nuestros servicios en la nube, ¿qué debemos hacer para garantizar la seguridad y la productividad? Estas son preguntas habituales en el proceso de migración a la nube. Las respuestas modelan la implementación futura de la compañía.

Si bien la seguridad y la disponibilidad son las mayores preocupaciones para las compañías que se cambian a la nube, los ahorros son, sin duda, los más importantes motivadores. La informática en nube puede ayudar a generar ahorros en nuevas formas, como adoptar un esquema de "pago por uso" o al reducir los costos de instalación de centros de datos.

La mayor parte de las compañías necesitan aumentar o reducir su escala, proporcionar una experiencia rica a través de todos los dispositivos (lo que incluye PC, dispositivos móviles y exploradores) rápidamente y alinear esas necesidades sin exponer la seguridad de datos. Forefront Threat Management Gateway (TMG) 2010 puede ayudarle a tener acceso seguro a los servicios en la nube y a las herramientas de productividad que usted y su comunidad de usuarios necesitan para continuar haciendo negocios.

Cambiarse a la nube

Para la mayor parte de las empresas, la migración a la nube comienza al cambiar varias funciones empresariales, como las herramientas de productividad. Esto incluye correo electrónico, sitios web de colaboración de equipos, mensajería instantánea/videoconferencias y aplicaciones de creación de contenido. Estas herramientas de productividad son el motor de su empresa. Son el núcleo de su empresa y deben estar disponibles siempre, independientemente de que el usuario esté sentado en su escritorio o trabaje de forma remota desde un hotel o desde la ubicación de un cliente (ver la figura 1).

Figura 1 Office 365 es la solución de la nube de Microsoft para productividad empresarial

Examinemos una situación hipotética usando una empresa ficticia llamada Contoso. Seguiremos a Contoso a través de los pasos de la planificación y migración a la nube. La compañía planea cambiar todas sus herramientas de productividad empresarial a la nube. La primera fase del proyecto es usar Exchange Online para cambiar el sistema de correo electrónico de los empleados ubicados en Estados Unidos a la nube.

Existen cuatro prerequisitos para la primera fase (ver la figura 2):

• Los usuarios internos no se deben ver afectados si la conexión a Internet del ISP actual deja de funcionar
• Los usuarios que hacen acceso a sus sistemas de correo electrónico en la nube deben estar protegidos contra amenazas potenciales que procedan de Internet
• La compañía puede reforzar una política de seguridad central en sucursales remotas
• Se debe impedir a los usuarios el acceso a sitios que no están permitidos por las directivas de seguridad de la compañía

Figura 2 Estos cuatro pilares se deben instalar en la primera fase

Alta disponibilidad

Forefront TMG 2010 puede cumplir los requisitos de Contoso para la fase 1 de la migración (ver la figura 3). Para cumplir los requisitos de alta disponibilidad, use las siguientes características de Forefront TMG 2010:

• Redundancia de ISP: Contoso puede tener acceso a internet incluso si el proveedor actual de ISP dejó de funcionar. Para cumplir esto, se necesitará otra ruta a Internet, generalmente mediante otro ISP.
• Equilibrio de carga de red integrado (NLB): Al integrar NLB con Forefront TMG, no solo puede cargar el tráfico entre nodos de NLB, pero también asegura una entrega hecha correctamente entre un nodo y el otro, en el caso que uno deje de funcionar.

Figura 3 Aprovechamiento de las características de alta disponibilidad de Forefront TMG 2010

Mantener la seguridad

Los servicios de Exchange Online incluyen características de antivirus y anti spam. Aún así, Contoso desea asegurar que sus usuarios estén protegidos al explorar sitios originados por el sistema de correo electrónico, por lo que está usando un enfoque de varias capas (ver la figura 4).

Figura 4 Aprovechamiento de la característica de inspección de Forefront TMG 2010 para proteger los recursos locales

Este enfoque de varias capas permite sacar provecho al poder de la nube mientras se protege el cliente local de potenciales amenazas de Internet:

• Un usuario remoto envía un correo electrónico a un cliente en las instalaciones de Contoso
• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje
• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente
• El usuario lee el mensaje y observa que hay un vínculo para descargar el último informe del sitio web de un socio. El usuario final identifica esto como un vínculo a un sitio seguro (usando HTTPS) y supone que es seguro descargar el informe.
• La característica de inspección de HTTPS de Forefront TMG analiza el tráfico, valida el certificado y proporciona la inspección al motor de inspección de malware para analizar el archivo que el usuario está intentando descargar. El motor de inspección de malware identifica el archivo como infectado y notifica al cliente que el archivo no se puede abrir, puesto que está infectado con un virus.

Reforzar directivas

La primera fase de la migración de Contoso cubre sólo a los usuarios ubicados en Estados Unidos. Debido a la autonomía que tiene cada sucursal para las operaciones cotidianas, la compañía necesita permitir a las sucursales locales tener control de su tráfico. También debe hacer esto adhiriendo a las reglas y directivas. Para alcanzar esta meta, use Forefront TMG 2010 con un escenario de varias matrices y tenga políticas de compañía reforzadas a nivel de empresa (ver la Figura 5).

Figura 5 Otorgamiento de autonomía a cada sucursal mientras se mantiene el cumplimiento de directivas de la compañía

Este modelo proporciona una vista central de administración para todas las matrices en la empresa. También ayuda al cumplimiento de directivas corporativas. Al aplicar los cambios a la política de firewall o a las reglas de red, Forefront TMG asegura que todas las conexiones de los clientes existentes cumplan las nuevas reglas o directivas. También terminará las conexiones no autorizadas.

Conservar la productividad

Un trabajador que use el nuevo sistema de correo electrónico debe mantenerse enfocado en la productividad, de manera que necesitan minimizar las distracciones potenciales. También necesitará bloquear los sitios maliciosos a los usuarios, según lo dicte la directiva de la compañía. La característica de filtración de URL de Forefront TMG 2010 usa un servicio basado en la nube llamado Microsoft Reputation Service para poder categorizar las URL a las cuales un usuario intenta tener acceso (ver la figura 6).

Figura 6 Uso de la filtración de URL de Forefront TMG 2010 para mejorar la experiencia de los trabajadores de la información

Así funciona el proceso:

• Un usuario remoto envía un correo electrónico a un cliente ubicado en las instalaciones de Contoso
• El mensaje está infectado con un virus y Exchange Online Antivirus limpia el mensaje
• Aparece una notificación de que llegó un nuevo mensaje en la casilla de correo del cliente. El cliente lee el mensaje y observa que hay un vínculo para hacer acceso a un nuevo portafolio del socio, que incluye un negocio asociado al juego
• La característica de filtración de Forefront TMG evalúa la URL y consulta a la base de datos de Microsoft Reputation Services para verificar si la categoría de esta URL coincide con “juego”, el cual no está permitido por la política de la compañía
• Forefront TMG bloquea el acceso a este sitio y notifica al usuario la razón por la cual el sitio fue bloqueado

Si el empleado piensa que el sitio no debiese ser bloqueado, pueden explorar temporalmente el sitio web y notificar al administrador que el sitio fue mal clasificado.

Existen otras características en Forefront TMG que le puedan ayudar en escenarios de implementación de nube. El almacenamiento en memoria caché es un ejemplo. Forefront TMG puede almacenar en caché los datos de HTTP y HTTPS de sus aplicaciones de nube. Esto ahorra ancho de banda y mejora la experiencia de usuario al mejorar la latencia de las solicitudes de la nube.

Forefront TMG también puede ayudar en la implementación en la nube al integrar la capacidad BranchCache con Windows Server 2008 R2. Para demostrar esto, asumiremos que la segunda fase de la migración a la nube de Contoso incluye Office Web Plus para clientes ubicados en algunas sucursales (ver la figura 7).

Figura 7 Uso de la capacidad BranchCache de Forefront TMG 2010 para asistir la migración a la nube de los recursos ubicados en la sucursal

Este es un bosquejo de como BranchCache puede ayudarle con los servicios remotos en la nube:

• Un cliente de la sucursal envía una solicitud a Forefront TMG local para tener acceso a Office Web Apps
• Forefront TMF evalúa si los datos solicitados se ubican en la memoria caché local. Si no, Forefront TMG local enviará la solicitud a la oficina central de Forefront TMG
• Forefront TMG de la oficina central recupera los datos de la nube y los envía a Forefront TMG ubicado en la sucursal
• Forefront TMG de la sucursal almacena los datos en la memoria caché local y la envía a la estación de trabajo del cliente que hizo la solicitud
• La estación de trabajo de otro cliente, también ubicado en la sucursal, realiza la misma solicitud por los mismos datos.
• Forefront TMG evalúa la solicitud, verifica que los datos están ubicados en la memoria caché y proporciona el contenido directamente al cliente

Como podrá ver, entre más clientes usen objetos basados en la nube desde la nube, más aumentará el caché. Se puede tener acceso a estos objetos varias veces al día. Con Forefront TMG almacenando estos objetos en la memoria caché, la compañía puede ahorrar ancho de banda a medida que aumenta la velocidad de acceso.

Mientras la seguridad siga siendo una preocupación primaria para las empresas que consideran cambiarse a la nube, Forefront TMG 2010 puede proporcionar un puerta de enlace web segura. Al solucionar los problemas de seguridad, podrá enfocarse en la razón real por la que su compañía se cambió a la nube en primer lugar: ahorro en costos.

Yuri Diogenes (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP and MCT) trabaja para Microsoft como ingeniero senior de escalación de soporte de seguridad en el equipo de CSS de Forefront Edge, radicado en Irving, Texas. Diogenes es responsable del control de las escalaciones de TMG/ISA y trabaja muy de cerca con el equipo de producto de TMG para solicitudes de cambio de diseño por errores y en archivos de parte de clientes de Microsoft. Diogenes es coautor de “Microsoft Forefront Threat Management Gateway Administrator’s Companion” (Microsoft Press, 2010) y otros títulos de Microsoft Forefront. También escribe artículos para el blog del equipo de TMG, para TechNet Magazine y en su blog personal.

Contenido relacionado

• Uso de Microsoft Forefront TMG 2010 como puerta de enlace web segura
• Proteger la mensajería instantánea con Forefront Security
• Microsoft Forefront: logro de la defensa a fondo con Forefront