Microsoft Forefront: Accesso protetto ai servizi cloud
Forefront Threat Management Gateway 2010 consente l'accesso protetto ai servizi cloud mantenendo al contempo la continuità aziendale.
Yuri Diogenes
Il passaggio al cloud computing suscita ancora qualche perplessità, prima fra tutte la protezione. In fase di pianificazione della migrazione di una società al cloud, è opportuno garantire la continuità aziendale. Gli utenti dovranno accedere alle applicazioni aziendali, ora ospitate nei servizi cloud, senza interruzioni e in modo protetto e a elevata disponibilità.
Ma i dubbi non finiscono qui: e se non tutti i client interni riuscissero ad accedere al cloud? Ora che il sistema di posta elettronica è nel cloud, cosa accadrebbe se si verificasse un'interruzione dell'accesso a Internet? Poiché un numero sempre maggiore di persone dovrà rimanere connesso a Internet per accedere ai servizi cloud, in che modo è possibile garantire un livello adeguato di protezione e produttività? Queste sono alcune domande che emergono in fase di pianificazione della migrazione al cloud. Le risposte decideranno la sorte della distribuzione futura per l'azienda.
Mentre protezione e disponibilità rappresentano le preoccupazioni principali per le aziende che decidono di passare al cloud, il risparmio economico costituisce senza dubbio il più importante tra i fattori trainanti. Il cloud computing consente di conseguire un risparmio dei costi con nuovi approcci, ad esempio l'adozione di uno schema di pagamento in base all'utilizzo o la riduzione dei costi legati alle infrastrutture dei data center.
La maggior parte delle società deve essere in grado di eseguire rapidamente scalabilità orizzontali e verticali, garantire un'esperienza avanzata con tutti i dispositivi (inclusi PC, dispositivi mobili e browser) e allineare queste esigenze senza compromettere la protezione dei dati. Forefront Threat Management Gateway 2010 consente di accedere in modo protetto ai servizi cloud e agli strumenti per la produttività necessari per mantenere la continuità aziendale.
Il passaggio al cloud
Per gran parte delle aziende l'inizio della migrazione al cloud coincide con il trasferimento di varie funzioni aziendali, ad esempio gli strumenti per la produttività come la posta elettronica, i siti Web per la collaborazione in team, la messaggistica istantanea e le applicazioni di videoconferenza e creazione dei contenuti. Questi strumenti rappresentano il motore di un'impresa, il fulcro delle attività aziendali, e pertanto devono essere sempre disponibili, indipendentemente dal fatto che l'utente si trovi in ufficio, in un hotel o presso la sede di un cliente (vedere la Figura 1).
Figura 1 Office 365 è la soluzione Microsoft Cloud per la produttività aziendale
Esaminiamo una situazione ipotetica con una società fittizia chiamata Contoso. Seguiremo da vicino i vari passaggi di pianificazione e migrazione al cloud. La società intende spostare tutti gli strumenti di produttività aziendale nel cloud. La prima fase del progetto consiste nell'utilizzare Exchange Online per eseguire la migrazione del sistema di posta elettronica al cloud per i dipendenti negli Stati Uniti.
Questa prima fase prevede quattro prerequisiti di base (vedere la Figura 2):
- Se la connessione a Internet o l'ISP corrente è inattivo, gli utenti interni non dovranno subire alcuna interruzione
- Gli utenti che accedono al sistema di posta elettronica nel cloud dovranno essere protetti da eventuali minacce provenienti da Internet
- La società può applicare criteri di protezione centrale nelle succursali remote
- Gli utenti non dovranno essere in grado di accedere ai siti non consentiti dai criteri di protezione della società
Figura 2 È necessario predisporre questi quattro pilastri per la prima fase
Disponibilità elevata
Con Forefront TMG 2010 è possibile soddisfare i requisiti di Contoso per la fase 1 della migrazione (vedere la Figura 3). Per rispettare la conformità ai requisiti di elevata disponibilità, utilizzare le funzioni Forefront TMG 2010 seguenti:
- Ridondanza ISP: Contoso può accedere a Internet anche se il provider ISP è inattivo. A tale scopo sarà necessario un altro percorso Internet, in genere tramite un altro ISP.
- Bilanciamento del carico di rete (NLB) integrato: grazie all'integrazione del bilanciamento del carico di rete con Forefront TMG è possibile caricare il traffico tra i nodi NLB e garantire continuità tra un nodo e l'altro, nel caso in cui uno dei due sia inattivo.
Figura 3 Utilizzo delle funzionalità di elevata disponibilità in Forefront TMG 2010
Mantenimento della protezione
I servizi Exchange Online includono funzionalità antivirus e di filtro posta indesiderata. Contoso desidera comunque garantire la protezione dei propri utenti nel momento in cui esplorano i siti originati dal sistema di posta elettronica e pertanto utilizza un approccio multistrato (vedere la Figura 4).
Figura 4 Utilizzo della funzionalità di controllo HTTPS di Forefront TMG 2010 per proteggere le risorse on-premise
Questo approccio multistrato consente di sfruttare la potenza del cloud proteggendo al contempo il client on-premise da eventuali minacce provenienti da Internet:
- Un utente remoto invia un messaggio di posta elettronica a un client nelle sedi Contoso
- Il messaggio è infettato da un virus e viene pulito dal programma antivirus di Exchange Online
- Nella cassetta postale del client viene recapitata una notifica di un nuovo messaggio
- L'utente legge il messaggio contenente un collegamento per scaricare il report più recente da un sito Web partner e, poiché lo riconosce come un collegamento a un sito protetto (tramite HTTPS), ritiene di poter scaricare il report con la massima tranquillità.
- La funzionalità di controllo HTTPS di Forefront TMG analizza il traffico, convalida il certificato e trasmette il controllo al motore di controllo antimalware per analizzare il file che l'utente tenta di scaricare. Il motore identifica il file infetto e indica al client che il file non deve essere aperto, in quanto contiene un virus.
Imposizione di criteri
La prima fase della migrazione di Contoso riguarda esclusivamente gli utenti negli Stati Uniti. A causa dell'autonomia di cui dispone ogni succursale per le attività giornaliere, la società dovrà consentire alle sedi locali di controllare il proprio traffico, seppur vincolata a regolamenti e criteri aziendali. A tale scopo, utilizzare Forefront TMG 2010 con uno scenario con più array e imporre i criteri a livello aziendale (vedere la Figura 5).
Figura 5 Garanzia di autonomia per ogni succursale con imposizione dei criteri aziendali a livello centrale
Questo modello offre una vista di gestione centrale per tutti gli array dell'impresa e favorisce inoltre l'imposizione dei criteri aziendali. Se si applicano modifiche ai criteri firewall o alle regole della rete, Forefront TMG garantisce la conformità di tutte le connessioni client esistenti alle nuove regole e ai nuovi criteri, terminando le connessioni non consentite.
Mantenimento della produttività
Un lavoratore che utilizza il nuovo sistema di posta elettronica deve mantenere l'obiettivo della produttività ed è pertanto necessario ridurre al minimo potenziali distrazioni. Sarà inoltre fondamentale bloccare l'accesso degli utenti a siti dannosi in conformità ai criteri aziendali. La funzionalità di filtro URL di Forefront TMG 2010 si avvale di un servizio basato su cloud denominato Microsoft Reputation Service per definire le categorie degli URL a cui un utente tenta di accedere (vedere la Figura 6).
Figura 6 Utilizzo del filtro URL di Forefront TMG 2010 per migliorare l'esperienza degli Information Worker
Ecco come si svolge il processo:
- Un utente remoto invia un messaggio di posta elettronica a un client nelle sedi Contoso
- Il messaggio è infettato da un virus e viene pulito dal programma antivirus di Exchange Online
- Nella casetta postale del client viene recapitata una notifica di un nuovo messaggio. L'utente legge il messaggio contenente un collegamento per accedere al nuovo portafoglio di un partner, che include un'attività di gioco d'azzardo
- La funzionalità di filtro URL di Forefront TMG valuta l'URL e invia al database Microsoft Reputation Service una query per verificare se la categoria dell'URL esegue una corrispondenza con il termine "gioco d'azzardo", non consentito dai criteri aziendali
- Forefront TMG blocca l'accesso al sito e invia una notifica all'utente sul motivo del blocco
Se il dipendente ritiene che il sito sia stato erroneamente bloccato, potrà accedere temporaneamente al sito Web e segnalare all'amministratore che il sito è stato classificato in modo errato.
In Forefront TMG sono disponibili altre funzionalità di supporto negli scenari di distribuzione cloud. Un esempio è costituito dalla memorizzazione nella cache. Forefront TMG consente di memorizzare dati HTTP e HTTPS nella cache dalle applicazioni cloud, consentendo di risparmiare larghezza di banda e migliorando l'esperienza utente grazie all'ottimizzazione della latenza per le richieste cloud.
Forefront TMG contribuisce inoltre alle distribuzioni cloud integrando la propria funzionalità BranchCache con Windows Server 2008 R2. Per illustrare questa situazione, presupporremo che la seconda fase della migrazione cloud di Contoso includa Office Web Plus per i client situati negli uffici di alcune succursali (vedere la Figura 7).
Figura 7 Utilizzo della funzionalità BranchCache di Forefront TMG 2010 per supportare la migrazione cloud delle risorse situate nelle succursali
Ecco come BranchCache fornisce supporto nei servizi cloud degli uffici remoti:
- Un client di una succursale invia una richiesta all'istanza locale di Forefront TMG per accedere alle applicazioni Web di Office
- Forefront TMG valuta se i dati richiesti sono situati o meno nella cache locale. In caso negativo, l'istanza locale di Forefront TMG invia la richiesta all'istanza di Forefront TMG della sede principale
- L'istanza Forefront TMG della sede principale recupera i dati dal cloud e li invia all'istanza di Forefront TMG a valle nella succursale
- L'istanza Forefront TMG della succursale archivia i dati nella cache locale e li invia alla workstation client che ha effettuato la richiesta
- Anche un'altra workstation client nella succursale esegue la stessa richiesta per gli stessi dati
- Forefront TMG valuta la richiesta, verifica che i dati si trovino nella cache e fornisce il contenuto direttamente al client
Ovviamente, le dimensioni della cache aumenteranno contestualmente al numero di client che utilizzano oggetti basati sul cloud dal cloud stesso. Verrà eseguito l'accesso a questi oggetti varie volte in tutto il giorno. Se Forefront TMG esegue la memorizzazione nella cache di questi oggetti, la società potrà risparmiare larghezza di banda, aumentando al contempo la rapidità di accesso.
Sebbene la protezione rimanga la preoccupazione principale per le società che intendono passare al cloud, Forefront TMG 2010 è in grado di fornire un gateway Web protetto. Una volta superati i problemi relativi alla protezione, sarà possibile concentrarsi sul vero motivo per cui le società passano al cloud: il risparmio sui costi.
Yuri Diogenes* (CISSP, E-CEH, Security+, Network+, MCSE+S, MCTS, MCITP e MCT) collabora per Microsoft come Senior Security Support Escalation Engineer nel team di CSS Forefront Edge a Irving, in Texas. È responsabile della gestione delle escalation TMG/ISA e lavora a stretto contatto con il team dei prodotti TMG nell'apertura di bug e nell'archiviazione di richieste di modifica alle progettazioni per conto dei clienti Microsoft. Diogenes è coautore di "Microsoft Forefront Threat Management Gateway Administrator's Companion" (Microsoft Press, 2010) e altre pubblicazioni relative a Microsoft Forefront. È inoltre autore di articoli per il blog del team di TMG, per* TechNet Magazine e sul suo blog personale.