Microsoft Forefront:保障對雲端服務的存取安全
您可以使用 Forefront Threat Management Gateway 2010 提供對雲端服務的安全存取,同時維持業務持續性。
Yuri Diogenes
關於是否該移向雲端運算仍有些顧慮,而以安全性當屬最首要的考量。在為貴公司移轉至雲端做規劃時,理當確保目前的業務不會受到中斷。您的使用者需要能夠持續存取他們的商務應用程式 — 現在是裝載在雲端服務內 — 並且要安全且隨時可用。
除此之外還有其他考量。要是我的內部用戶端無法存取雲端怎麼辦?電子郵件系統已在雲端上,要是網際網路存取中斷會發生什麼事?隨著越來越多人必須保持網際網路連線才能存取我們的雲端服務,我們要如何保證安全性和生產力呢?這些都是當您規劃移轉到雲端時常見的問題。而答案將影響公司未來的部署。
雖然對於移向雲端的公司,安全性和可用性是最重要的考量,但成本節約無疑是最大的驅動因素。雲端運算可幫助您以新的方式達到成本節約,像是採用「依使用量付費」方案,或是降低資料中心的設施成本。
大部分公司都需要能夠迅速擴充或縮小,跨越所有裝置 (包括個人電腦、行動裝置和瀏覽器) 提供豐富的體驗,以及在不犧牲資料安全性的情況下配合這些需要。Forefront Threat Management Gateway (TMG) 2010 可幫助您安全地存取您和您的使用者社群持續執行業務所需的雲端服務和產能工具。
移向雲端
對於大多數企業,移轉到雲端總是從移動像是產能工具等各種商務職能開始著手。這包括電子郵件、小組共同作業網站、立即訊息/視訊會議和建立內容的應用程式。這些產能工具是您企業的引擎。它們是您企業的核心,而且無論使用者是在辦公桌前或是從飯店或客戶據點等遠端地點工作,產能工具都必須永遠保持可用狀態 (請參閱 [圖 1])。
.jpg)
[圖 1] Office 365 是 Microsoft 商務產能的雲端解決方案
讓我們用一家名為 Contoso 的虛構公司來分析一個假設性情況。我們要跟著 Contoso 逐一完成規劃和移轉到雲端的步驟。這家公司計畫將它所有的商務產能工具移向雲端。這個專案的第一個階段是使用 Exchange Online 將美國地區的員工電子郵件系統移到雲端。
第一個階段有四個核心必要條件 (請參閱 [圖 2]):
- 如果目前的 ISP 中斷網際網路連線,內部使用者必定不能受到影響
- 存取他們的雲端電子郵件系統的使用者必須受到保護,以防來自網際網路的潛在威脅
- 公司可以對遠端分公司強制執行中央安全性原則
- 必須禁止使用者存取公司的安全性原則所不允許的網站
.jpg)
[圖 2] 這四大要件必須在第一階段落實
高可用性
Forefront TMG 2010 可以滿足 Contoso 在第一個移轉階段的需求 (請參閱 [圖 3])。為了符合高可用性需求,會使用下列 Forefront TMG 2010 功能:
- **ISP 備援:**即使目前的 ISP 提供者停止運作,Contoso 還是可以存取網際網路。要達成此目的,必須有另一個網際網路路徑,而這通常是透過另一個 ISP。
- **整合式網路負載平衡 (NLB):**透過將 NLB 與 Forefront TMG 整合,您不僅可以在 NLB 節點間載入流量,還可以確保如果有節點停止運作,它們彼此間能夠順利交接。
.jpg)
[圖 3] 運用 Forefront TMG 2010 中的高可用性功能
維護安全性
Exchange Online 服務包含防毒和反垃圾郵件功能。儘管如此,Contoso 還是想確保它的使用者在瀏覽來自電子郵件系統的網站時有受到保護,因此它採用多層式方法 (請參閱 [圖 4])。
.jpg)
[圖 4] 運用 Forefront TMG 2010 HTTPS 偵測功能來保護內部資源
這個多層式方法可讓您運用雲端的強大功能,同時保護內部用戶端以防來自網際網路的潛在威脅:
- 遠端使用者傳送電子郵件到 Contoso 公司內部的用戶端
- 這封郵件已受病毒感染,而 Exchange Online 防毒會清除郵件
- 用戶端信箱中出現有新郵件抵達的通知
- 使用者讀取郵件並注意到有個連結可從合作夥伴的網站下載最新報告。使用者認為這是個安全網站 (使用 HTTPS) 的連結,並假定可以安心下載報告。
- Forefront TMG HTTPS 偵測功能分析流量,驗證憑證,並將偵測內容交給惡意程式碼偵測引擎來分析使用者試圖下載的檔案。惡意程式碼偵測引擎確認這個檔案已受感染,並通知用戶端因為檔案已受病毒感染而無法開啟。
強制原則
Contoso 的第一個移轉階段只涵蓋了位於美國地區的使用者。由於每個分公司辦公室對於日常操作有自主權,公司必須容許當地分公司控制自己的流量,並在此同時遵守公司的規則和政策。為了達到這個目標,會使用 Forefront TMG 2010 搭配多重陣列案例,並在企業層級強制執行公司政策 (請參閱 [圖 5])。
.jpg)
[圖 5] 容許各個分公司辦公室有自主權的同時強制執行中央公司政策
這個模型針對企業內的所有陣列提供中央管理檢視。它也有助於強制執行公司政策。當您對防火牆原則或網路規則套用變更時,Forefront TMG 會確保所有現有的用戶端連線都遵守新的原則或規則。它也會終止不允許的連線。
維持產能
使用新電子郵件系統的工作人員必須持續專注在生產力上,因此您需要將有可能分散注意力的事情減至最低。為了符合公司政策,您也必須封鎖使用者存取惡意網站。Forefront TMG 2010 URL 篩選功能使用以雲端為基礎的服務,稱為 Microsoft Reputation Service,將使用者嘗試存取的 URL 加以分類 (請參閱 [圖 6])。
.jpg)
[圖 6] 使用 Forefront TMG 2010 URL 篩選來提升資訊工作者的體驗
以下是此程序的運作方式:
- 遠端使用者傳送電子郵件到位在 Contoso 公司內部的用戶端
- 這封郵件已受病毒感染,而 Exchange Online 防毒會清除郵件
- 用戶端信箱中出現有新郵件抵達的通知。用戶端讀取郵件並注意到有個連結可存取合作夥伴的新系列產品,當中包含賭博業務
- Forefront TMG URL 篩選功能評估此 URL 並查詢 Microsoft Reputation Service 資料庫,以查驗此 URL 的類別是否符合「賭博」,也就是公司政策不容許的類別
- Forefront TMG 封鎖對此網站的存取,並通知使用者網站被封鎖的原因
如果該名員工認為不應該封鎖此網站,他們可以暫時瀏覽網站,並告知系統管理員該網站的分類有誤。
Forefront TMG 中還有其他功能可協助不同的雲端部署案例。快取是其中一例。Forefront TMG 可以快取您雲端應用程式的 HTTP 和 HTTPS 資料。如此可節省頻寬,並藉由改善雲端要求的延遲而提升使用者體驗。
Forefront TMG 也可將其 BranchCache 功能與 Windows Server 2008 R2 整合來協助雲端部署作業。我們將假設 Contoso 雲端移轉的第二個階段包括移轉位於一些分公司辦公室用戶端的 Office Web Plus,藉此進行示範 (請參閱 [圖 7])。
.jpg)
[圖 7] 使用 Forefront TMG 2010 BranchCache 功能來協助雲端移轉位於分公司辦公室的資源
以下概述 BranchCache 如何能夠協助遠端辦公室的雲端服務:
- 分公司辦公室用戶端傳送要求到本機 Forefront TMG 以存取 Office Web Apps
- Forefront TMG 評估要求的資料是否位於本機快取。如果不是,本機 Forefront TMG 便傳送要求到總公司 Forefront TMG
- 總公司 Forefront TMG 從雲端擷取資料,並將其傳送到位於分公司辦公室的下游 Forefront TMG
- 分公司辦公室 Forefront TMG 將資料存放在本機快取,並將其傳送到提出要求的用戶端工作站
- 另一台同樣位於分公司辦公室的用戶端工作站對相同的資料執行同樣的要求
- Forefront TMG 評估要求,確認此資料位於快取當中,並將內容直接提供給用戶端
如您所見,從雲端使用雲端架構物件的用戶端越多,快取就會增長的越大。該些物件一天下來將被存取許多次。透過 Forefront TMG 快取該些物件,公司可以節省頻寬,並同時加快存取速度。
雖然對於考慮移往雲端的公司來說,安全性仍舊是主要考量,但是 Forefront TMG 2010 可以提供安全的 Web 閘道。而解決了安全方面的顧慮,您可以把焦點放在貴公司當初移往雲端的真正理由:成本節約。
.jpg)
Yuri Diogenes *(CISSP、E-CEH、Security+、Network+、MCSE+S、MCTS、MCTIP 和 MCT) 在 Microsoft 擔任 CSS Forefront Edge 小組 (位於德州歐文) 的資深安全性支援高階工程師。Diogenes 負責處理 TMG/ISA 升級,並且與 TMG 產品小組密切合作代表客戶報告問題,以及提出變更設計的要求。Diogenes 是《Microsoft Forefront Threat Management Gateway Administrator’s Companion》(Microsoft Press,2010 年) 和其他 Microsoft Forefront 書籍的合著者。他也為 TMG 小組部落格、*TechNet Magazine 和他自己的部落格撰文。