mms 2010: secure collaboration

32

Upload: alexey-goldbergs

Post on 20-Jan-2015

1.160 views

Category:

Technology


4 download

DESCRIPTION

Microsoft Management Summit 2010: Secure collaboration

TRANSCRIPT

Построение систем защищенного взаимодействияАлексей ГолдбергсЭксперт по технологиям ИБMicrosoft Corporation

Конфиденциальная информация

отправляется по эл. почте

Вредоносный код

Текущая ситуацияОграниченное взаимодействие снижает продуктивность пользователей

Доступ отсутствует

или ограничен

Доступ отсутствует

или ограничен

Безопасность Простота

Безопасный удаленный доступ к ресурсам организации с любого устройства из любой точки мира, защита от вредоносного ПО и контроль доступа к информации

Интеграция

Защищенное взаимодействие

• Безопасный прозрачный доступ

• Эффективный антивирус

• Защита конфиденциальной информации

• Централизованное управление

• Повышенная защита критичных бизнес-приложений

• Глубокая интеграция с Microsoft SharePoint и Office

• Основано на открытых стандартах

Платформа решения

Защита информации

Управление учетными данными

Защита эл.почты

Защита ПКЗащищенное

взаимодействие

• Единая точка доступа к бизнес-приложениям (Exchange, SharePoint, Dynamics CRM, SAP, Lotus) и другим внутренним ресурсам

• Поддержка всех наиболее распространенных интернет-браузеров (IE, Mozilla, Safari) и операционных систем (Windows, Mac OS X, Linux)

Свободный доступ

• Проверка конечных точек на соответствие требованиям политик безопасности

• Интеграция со службой Active Directory и средствами многофакторной аутентификации (цифровые сертификаты/смарт-карты, OTP)

• Ограничение доступа к информации и снижение рисков утечки данных

Повышенная

безопасность

• Простота внедрения и эксплуатации посредством встроенных мастеров настройки

• Централизованное управление политиками доступа к приложениям

• Масштабируемость и отказоустойчивость

Легкое управлени

е

UAG предоставляет безопасный удаленный доступ из любой точки мира к любым бизнес-приложениям,

повышая эффективность работы пользователей, не снижая общего уровня безопасности

Удаленный доступ для мобильных работников

Решение, используемое в Windows 7

Direct Access

Ситуация на сегодняшний день

В офисе Дома ДомаВ офисе Находящимся вне офиса пользователям

сложно получить доступ к корпоративным ресурсам

ИТ-специалистам сложно обновлять мобильные ПК, устанавливать на них исправления и управлять ими, если мобильные ПК не подключены к корпоративной сети

Новая сетевая парадигма обеспечивает единообразие при работе в офисе и вне его

Упрощенный доступ к сетевым ресурсам способствует повышению производительности труда мобильных пользователей

Инвестиции в инфраструктуру также позволяют упростить обслуживание мобильных ПК, установку обновлений и применение политик

Преимущества DirectAccess

Всегда включен

Безопасность

Управляемость

Безопасный удаленный доступ

Прозрачный доступ

Единый портал для доступа к приложениям

Политики доступа к приложениям

DIRECT

ACCESS

SSL

VPN

SSL

VPN

Безопасный удаленный доступ

demo

Внутренние пользовате

ли SharePoint

Вредоносный код

Защита от вредоносного кода• Многоядерная технология

антивирусной защиты• До 5 ядер, работающих одновременно• Отказоустойчивость• Скорость реагирования на новые

угрозы• Фильтрация файлов по типа• Фильтрация по ключевым словам

SharePointServer

Внешние пользовател

иSharePoint

Ядро 1

Ядро 2

Ядро 3Ядро 4Ядро 3 Ядро отключается для обновления или из-за

ошибки

Ядро с последними обновлениями

активируется для сканирования

Активные сканирующие ядра

После обновления ядро снова становится

активным

Вредоносный код Internet

Базы сигнатур обновляются как только становятся доступными на сайте производителя ядра

Защита от вредоносного кода

demo

Права доступа (ACL)

Авторизованные

пользователи

Периметр сети

Неавторизованные пользователи

Авторизованные пользователи

Неавторизованные

пользователи

Да

Утечка информации

Проблема утечки информации

Защита и контроль доступа к информацииРешениеМного названий…

Digital Rights Management (DRM)Enterprise Digital Rights Management (e-DRM)Information Rights Management (IRM)Enterprise Rights Management (ERM)

Суть одна…Предотвращение несанкционированного доступа к конфиденциальной информации посредством:

Назначения политик использованияШифрования

Защита встроена в документы

+Шифрование

Политики:

• Права доступа• Права использования

AD Rights Management Services (AD RMS)

Контроль доступа к информации на всем жизненном цикле документовПрава на доступ к документу следуют за документомПользователи назначают права доступа непосредственно внутри документа / сообщенияПользователи могут определять кто может просматривать, редактировать, распечатывать и пересылать сообщениеОграничение доступа только авторизованным пользователямОрганизация может создавать свои шаблоны политик AD RMS

Автор данных Получатель

Сервер AD RMSSQL AD

1. Автор получает сертификаты

2. Автор определяет права доступа к файлу и автоматически создает “Лицензию публикации” для файла (файл шифруется)

3. Автор распространяет файл

4. При открытии файла получателем приложение соединяется с RMS сервером, который проверяет полномочия пользователя и выпускает “Лицензию использования”

5. Приложение при работе с файлом обеспечивает исполнение правил

14

3

52

Принцип работы

Автор данных Получатель

1

5

4

2

3

6

1. Автор публикует документы на SharePoint Server

2. Получатель запрашивает документы с SharePoint

3. SharePoint защищает файл исходя из разрешений в библиотеке документов

4. SharePoint посылает файл получателю

5. Приложение запрашивает разрешения с AD RMS сервера

6. Приложение представляет файл и применяет разрешения

Интеграция с SharePoint Server

Сервер AD RMS

Защита документов

demo

• Сканирование содержимого сообщений (включая вложения)• Применение шаблонов AD RMS с помощью транспортных правил

Exchange Server (запрет пересылки, копирования содержимого или распечатки сообщений)

Интеграция с Exchange Server 2010Автоматическая защита сообщений

AD RMS

Интеграция с Exchange Server 2010

Поддержка IRM в Outlook Web Access (OWA)Использование окна предварительного просмотраПоддержка Explorer, Firefox и SafariПолнотекстовый поискПросмотр бесед

Поддержка IRM в Windows Mobile

Поддержка голосовых сообщенийЗащита от пересылки неуполномоченным пользователям

Настройки защиты OutlookАвтоматическое применение шаблонов политик RMS при создании сообщения

Защита почтовых сообщений

demo

Сброс паролей и обработка запросов на предоставления

доступа через службу поддержки

Компания обслуживает учетные записи

сотрудников Партнера

Множество удостоверений, ограниченная

поддержкаПрикладные системы используют

разнообразные методы аутентификации пользователей

Решение для удаленного доступа

с отдельным хранилищем учетных

данных

Партнер обслуживает учётные записи

сотрудников компании

Текущая ситуацияЗатратно с точки зрения времени и ресурсов

Доверяющая сторона - Приложение: запрашивает утверждения и использует их для создания контекста пользователяПоставщик утверждений - Сервис маркеров доступа (STS): аутентифицирует субъект, выпускает маркеры доступаОтношения доверия: контекст, в котором существуют утверждения Утверждения: набор высказываний Поставщика утверждений о субъекте

Новая модель аутентификации: Claims-Based AuthN (CBA)

Отношения доверия

Поставщик утвержден

ий(Сервис

маркеров доступа)

2. Получение утвержден

ия

3. Предоставление

утверждений

1. Запрос утвержден

ий

Субъект

Доверяющая сторона

(потребитель

утверждений)

AD FS 2.0AD FS 2.0

Smart Client или Browser (или CardSpace)

Типовой сценарий федеративного взаимодействия

Доверие

Доверие

3. Трансформация маркера доступа

Приложение

4. Новый маркер доступа

WCF

ASP.

Net

WIF

1. Ау

тент

ифик

ация

2. М

арке

р дос

тупа

Платформенные средства

предоставления доступа для

приложений ДБО

Более безопасный и простой доступ к

ресурсам для партнеров

Корпоративные удостоверения для доступа к облачным

сервисам

Единое удостоверениедля всех ресурсов и

приложений

Управление идентификационной информацией и доступомЛегко и просто

ADFS 2.0 ADFS 2.0

Взаимодействие с партнерами

demo

Группа компаний «Эфес»

заказчик

Пример внедрения

О КомпанииПроизводство: • Москва • Новосибирск• Ростов на Дону• Казань• Уфа

1999 строительство первого завода в России 4 500 сотрудников

Причины инициации проекта

• Множество систем для удаленного доступа• Электронная почта – Outlook Web Access• SAP ERP/CRM - SAP Web Dispatcher• Файлы – корпоративный портал (SAP NetWeaver Portal)• IPSec VPN (PPTP, L2TP)

• Недостатки для пользователя• Множество точек входа, паролей• IPSec VPN не везде работает (офисы, гостиницы и т.д.)

• Недостатки для ИТ отдела• Сложность в использовании и обслуживании отдельных систем

Результаты внедрения решения

Унификация удаленного доступа через портал Forefront UAG

Удобство для сотрудников – доступ из единой точки

Работает везде, где есть Интернет (SSL VPN)

Упрощение администрирования• Один продукт для удаленного доступа• Интеграция с Active Directory

Безопастность• Двухфакторная аутентификация для некоторых сотрудников• Проверка состояния компьютера перед предоставлением доступа

Вопросы

Алексей ГолдбергсЭксперт по технологиям информационной безопасности[email protected]Блог: http://blogs.technet.com/securityrusTwitter: @AlexGolbergs

© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.