Microsoft Forefront: un livello superiore di difesa con Forefront
Grazie ai numerosi livelli e modalità offerti da Microsoft Forefront è possibile configurare un livello di protezione personalizzato in base alle esigenze.
William Stanek
Posta indesiderata, virus, tentativi di phishing, malware: c'è davvero di tutto là fuori! Gli attacchi provengono da qualunque punto e le tecniche e gli strumenti di protezione di cui è stato possibile usufruire fino a questo momento non sono più sufficienti. Per procedere senza problemi, è necessario rielaborare le tecniche e ricreare nuovi strumenti. È qui che entra in gioco Microsoft Forefront.
Forefront è una famiglia di prodotti multilivello che offre soluzioni di protezione e gestione delle identità a livello aziendale. Cercare di districarsi all'interno del dedalo di offerte Forefront può risultare apparentemente scoraggiante per via del panorama di prodotti in continua evoluzione e in quanto Forefront offre un sistema di difesa complesso che ho soprannominato DiD2 (Defense in Depth Squared).
Sebbene siano state apportate alcune modifiche, i singoli prodotti della famiglia Forefront includono:
- Forefront for Office Communications Server 2007 R2
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
Una gamma piuttosto consistente a cui vanno ad aggiungersi le relative offerte che ancora non sono state completamente rimosse contemporaneamente a quelle che sono in fase di introduzione, tra cui:
- Identity Lifecycle Manager 2007
- Forefront Client Security
- ISA Server 2006
- Intelligent Access Gateway 2007
- Office Communications Server 2007
- Forefront Security for Office Communications Server
Sostituzioni
Lync Server sostituisce Office Communications Server 2007. Si tratta di una piattaforma di comunicazioni unificate che offre funzionalità di presenza, conferenza e messaggistica istantanea, nonché funzioni vocali di livello aziendale in grado di migliorare o sostituire i tradizionali sistemi PBX.
Per proteggere l'ambiente di comunicazioni unificate è possibile installare Forefront Protection 2010 for Lync Server nei server interni. Forefront Protection protegge le funzionalità di presenza, conferenza e messaggistica istantanea mediante filtri e motori di analisi in grado di bloccare contenuti non conformi ai criteri e filtrare malware e posta indesiderata.
Forefront Identity Manager 2010 sostituisce Identity Lifecycle Manager 2007. Si tratta di un sistema di gestione unificata dei criteri per controllare le identità, i livelli di accesso, le risorse e le credenziali degli utenti. Concepito per ambienti eterogenei, consente ai titolari di imprese e al reparto IT di utilizzare il prodotto per garantire l'aderenza di tutti i sistemi aziendali (inclusi database, directory e applicazioni line-of-business) allo stesso set di criteri. Forefront Identity Manager (vedere la Figura 1) si occupa di:
- Gestione degli utenti: provisioning e deprovisioning dell'accesso e delle risorse degli utenti
- Gestione delle credenziali: gestione e sincronizzazione delle credenziali tra sistemi
- Gestione dei gruppi: gestione di gruppi di protezione ed elenchi di distribuzione
- Gestione dei criteri: creazione e applicazione di criteri tra sistemi
.jpg)
Figura 1 Forefront Identity Manager 2010 a prima vista
Forefront Endpoint Protection 2010 è una soluzione integrata per la gestione e la protezione di endpoint di rete. Un computer endpoint è semplicemente un client o un server all'interno di un'impresa che non viene in genere utilizzato come gateway o punto di ingresso. Forefront Endpoint Protection sostituisce Forefront Client Security ed è basato su System Center Configuration Manager 2007.
Forefront Endpoint Protection utilizza l'infrastruttura di Configuration Manager per distribuire e gestire la protezione endpoint. Il prodotto include due componenti principali: agenti di protezione e server di gestione (vedere la Figura 2). Gli agenti di protezione vengono eseguiti in computer endpoint e offrono protezione in tempo reale da tutti i tipi di malware, nonché analisi di minacce in una pianificazione preimpostata. I server di gestione consentono di centralizzare la distribuzione e l'amministrazione della protezione.
.jpg)
Figura 2 I due componenti principali di Forefront Endpoint Protection 2010
Forefront Threat Management Gateway (TMG) 2010 sostituisce ISA Server 2006. Si tratta di un gateway Web protetto da minacce basate su Web. Il server funge da firewall di gestione delle minacce e fornisce il filtro URL, il rilevamento di malware, la prevenzione delle intrusioni e l'ispezione HTTP/HTTPS. L'ispezione HTTPS (vedere la Figura 3) consente il controllo da parte di Forefront TMG del traffico Web con crittografia SSL durante il trasporto per garantirne la conformità ai criteri di protezione, agevolando l'operazione di rilevamento di malware, limitando l'utilizzo del Web ai siti approvati ed escludendo dall'ispezione determinati siti contenenti informazioni sensibili, tra cui siti di banking. Nella figura 3 è fornita una visione d'insieme del funzionamento di questo processo.
Forefront TMG può fungere da endpoint VPN, consentendo una connessione da sito a sito e la possibilità ai client VPN di accesso remoto di terminare nel server TMG. Può inoltre prevedere l'ispezione del traffico VPN terminante nel server TMG per garantirne la conformità ai criteri di protezione. Il processo è analogo all'ispezione HTTPS. Il server TMG può inoltre essere utilizzato come server cache ospitata per una succursale al fine di semplificare la distribuzione BranchCache. Questo stesso server può anche essere il controller di dominio di sola lettura della succursale.
.jpg)
Figura 3 Ispezione HTTPS con Forefront Threat Management Gateway 2010
Occhio alla posta
Forefront offre una protezione Exchange Server bivalente:
- Forefront Online Protection for Exchange Server protegge la posta in ingresso e in uscita mediante filtri e motori di analisi in remoto e ospitati in grado di bloccare contenuti non conformi ai criteri e filtrare malware e posta indesiderata prima che possano raggiungere i computer Exchange Server aziendali
- Forefront Protection 2010 for Exchange Server protegge la posta in ingresso e in uscita in computer Server Exchange in loco mediante filtri e motori di analisi installati internamente in grado di bloccare contenuti non conformi ai criteri e filtrare malware e posta indesiderata
La soluzione fuori sede ospitata non richiede installazioni di hardware o software ed è inclusa nei Microsoft Online Services. È possibile utilizzare questa soluzione con la messaggistica in sede, ospitata o Exchange Online. Consente in qualsiasi caso di analizzare i messaggi prima che raggiungano le cassette postali.
La soluzione in sede è concepita per l'impiego con la messaggistica di Exchange interna. È necessario installarla in server edge, hub, di cassette postali e cartelle pubbliche. Verrà eseguita l'analisi dei messaggi in transito e prima del recapito. Se utilizzata con la soluzione ospitata, crea un flusso di sicurezza avanzata tra l'ambiente di messaggistica in sede e la soluzione fuori sede.
I filtri e i motori di analisi rappresentano il fulcro di entrambi i prodotti. L'utilizzo di più filtri e motori garantisce la continuità dell'attività di blocco di posta indesiderata, allegati pericolosi e altri contenuti non desiderati anche nel caso in cui uno i questi motori subisca un arresto o sia in fase di aggiornamento offline. I messaggi vengono esaminati in tempo reale durante il trasporto da parte di server edge e hub e nell'archivio dei server di cassette postali e cartelle pubbliche (vedere la Figura 4).
.jpg)
Figura 4 Analisi dei messaggi con Forefront Protection 2010 for Exchange Server
Forefront Unified Access Gateway (UAG) 2010 sostituisce Intelligent Access Gateway 2007 e fornisce ai client remoti l'accesso protetto ad applicazioni, risorse e reti aziendali. Con Forefront UAG è possibile pubblicare applicazioni Web e non Web per potervi accedere in remoto tramite HTTP o HTTPS. Tra le applicazioni pubblicate figurano applicazioni Microsoft, applicazioni line-of-business e RemoteApp rese disponibili con Servizi Desktop remoto (vedere la Figura 5). È inoltre possibile configurare Forefront UAG come server DirectAccess per connettere i client direttamente a risorse interne senza la necessità di una connessione VPN.
.jpg)
Figura 5 Pubblicazione di applicazioni per l'accesso esterno con Forefront Unified Access Gateway 2010
L'ultima soluzione Forefront è Forefront Protection 2010 for SharePoint, che offre protezione multilivello per i documenti archiviati e condivisi in raccolte SharePoint. Con Forefront Protection 2010 for SharePoint vengono installati filtri e motori di analisi nei server SharePoint per impedire agli utenti il caricamento e il download di file contenenti virus, malware o altro tipo di contenuti dannosi. È possibile impostare criteri per proteggere le informazioni riservate e bloccare contenuti non appropriati.
Ecco dunque un'introduzione completa a Forefront e alla relativa famiglia di prodotti. E, cosa ancor più importante, Forefront offre un livello di protezione avanzata DiD2 per computer endpoint, server di comunicazione e collaborazione, reti aziendali.
Di seguito è indicato l'elenco completo della famiglia di prodotti Forefront:
- Forefront Protection 2010 for Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
.jpg)
**William R. Stanek**è esperto di tecnologie, istruttore e autore pluripremiato di oltre 100 libri. È possibile seguire Stanek su Twitter all'indirizzo https://twitter.com/williamstanek.