Skip to main content

TechNet - Experternas arena

Frågespalt: IT-säkerhet

 

Hur designar man en säker it-miljö med stor del externa användare?

Fråga:

Hur designar man en säker it-miljö med stor del externa användare?

Hej Marcus,

Vi är i stånd att designa/installera en helt ny it-miljö för en nystartad verksamhet. Det rör sig om ungefär 50 medarbetare och dessutom ca 100 konsulter som kommer och går i miljön. Vi kommer sätta upp klassiska tjänster som mail, filservrar, ett antal affärsspecifika applikationer. Verksamheten har höga krav på säkerhet. Hur designar man en säker lösning för detta? Har du några direkta tips?
 
/Sten H, Teknisk it-arkitekt

Marcus Murray

Marcus Murray jobbar på TrueSec AB och är som Sveriges enda Security MVP en av landets främsta experter på IT-säkerhet.

Du som är IT-proffs kan skicka dina frågor om IT-säkerhet till adressen fraganu@microsoft.com och få din fråga besvarad av Marcus här i frågespalten.

Vi kan tyvärr inte garantera att alla frågor hinner besvaras.

Svar:

Jag förstår utmaningen med att en så stor del extern personal ska få verka i miljön. Samtidigt låter det ju som att ni har väldigt bra förutsättningar då ni ska bygga en helt ny miljö. Det innebär ju både att ni har möjlighet att nyttja den senaste tekniken och att ni inte begränsas av gamla arv.
För att göra ett riktigt bra designförslag så skulle jag behöva en hel del information som inte framgår av  ditt mail, men jag ska göra mitt bästa för att ge dig ett konceptuellt svar som du kan ha som  grundläggande inspiration och riktlinje.
 
Då nätverket kommer att populeras av så pass stor andel extern personal skulle jag börja med att betrakta det interna fysiska nätverket som ett "semi-publikt" nät.
 
Jag antar att både externa konsulter och anställda ska få åtkomst till mail, filareor, och diverse applikationer. Dessutom önskar ni säkert att åtminstone den interna personalens datorer ska vara  fullt managerbara, vilket ställer kravet att de görs till medlemmar i domänen.
 
Här kommer lite konkreta designtips:
Ta med PKI i designen redan från början, då kommer ni att kunna utfärda smarta kort till personal och konsulter, isolera åtkomst mellan egna och andra klientdatorer, etc.
 
Skapa en fysisk segmentering av klient och servernät där ni strävar efter att publicera serverapplikationer på ett säkert sätt mot klientnäten. Här kan exempelvis ISA Servrar användas.
 
Satsa på nya serverapplikationer som går att publicera mot klienterna på ett säkert sätt. Ett exempel kan vara att använda säkrade sharepointlösningar i stället för traditionell rpc-baserad fildelning, etc. För mailaccess kan man titta på Certifikatbaserad (Med klientcert!) OWA/Outlook Anywhere (Tidigare RPC over HTTP(S)).
Ta även en titt på nya Terminal Services funktionen i Windows Server 2007 som kan publicera på applikationsnivå och dessutom med en ssl gateway.
Nästan samma funktionalitet kan uppnås med Forefront Internet Application Gateway (IAG) som kommer att bli en naturlig del av ISA Server framöver.
 
Skapa ett logiskt isolerat nät för klientdatorer ni själva äger och managerar. Fullt managerade klienter kan tilldelas certifikat och därmed forma ett logiskt isolerat nät enligt konceptet "Domain Isolation". Dessutom kan man nyttja ISA Servrar för optimal effekt.

Det finns bra guider för detta som till exempel (US):

Ställ krav på icke managerade klienter innan dom får access till publicerade tjänster (och gärna även managerade klienter) med tekniker som exempelvis Network access protection (NAP). Nap kräver Windows Server 2007 och det är idag en bra idé att designa för möjligheterna med det nya serveroperativet, särskilt som ni ska bygga en ny miljö.

Sammanfattningsvis är tanken att era egna fullt managerade klienter har den åtkomst som krävs för att nå full domänfunktionalitet. Givetvis ska servertjänster publiceras på ett säkert sätt mot dessa i högsta möjliga mån.
 
Externa klienter som ägs av konsulter och därmed inte kan manageras kan ändå utsättas för hälsokontroller via till exempel NAP, vidare ska de inte ha full access till servrar utan endast adekvat åtkomst till publicerade applikationer. Har man behov av full domänfunktionalitet utan att ha en fullt managerad klient så kan man ju välja att publicera en managerad desktop från en säkrad terminalserver.
 
I en så pass begränsad och ny miljö tror jag att detta kan vara en realistisk och intressant designvision. Självklart kan ni göra vissa avsteg om verksamheten medger det och självklart bör ni även tillämpa traditionell säkerhet som bland annat:

  • Lokala brandväggar på servrar och klienter
  • Delegerad administration
  • Rollbaserad härdning
  • Komplett patchning av samtliga operativ/applikationer och tjänster

Hoppas att detta kan bli inspiration till ert designarbete.

MVH /Marcus Murray

 

De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.