Microsoft Intelligent Application Gateway 2007

Информация по продукту

Intelligent Application Gateway 2007 (IAG) – это интегрированное аппаратное решение, а именно настраиваемый шлюз приложений с набором модулей оптимизации Application Optimizer, который предоставляет защищенный доступ к приложениям через виртуальную частную сеть VPN на базе протокола SSL, брандмауэр для веб-приложений и средства управления безопасностью оконечных устройств доступа. Данный комплекс обеспечивает управление доступом, авторизацию и фильтрацию содержания для самых разных корпоративных и интранет-приложений, клиент/серверных ресурсов и полную связность сети с поддержкой всех сетевых возможностей. В сочетании эти технологии дают мобильным и удаленным работникам гибкий и безопасный доступ в самых разных местах планеты с помощью самого широкого спектра устройств, включая интернет-киоски, ПК и различные мобильные устройства.

Управление доступом.

Теперь вы можете организовать безопасный доступ к корпоративным приложениям и данным через браузер для большего числа пунктов и устройств доступа, причем для этого не нужно устанавливать и настраивать дополнительные клиентские модули.

• Гибкий доступ через SSL VPN с разграничением по приложениям из любого места с помощью любого устройства.
• Дифференцированный и управляемый с помощью политик доступ к широкому спектру сетевых, серверных и информационных ресурсов.
• Детализированные политики безопасности и разграничения доступа.
• Возможность настройки внешнего вида и поведения веб-портала под конкретного пользователя.

Защита информационных ресурсов.

Интегрированные средства защиты приложений помогают гарантировать целостность и защищенность сети и инфраструктуры приложений за счет блокирования передачи вредоносного ПО и атак.

• Интеграция с инфраструктурой предприятия помогает обеспечить целостность и защищенность сетевых ресурсов и приложений.
• Адаптируемый брандмауэр веб-приложений применяет фильтрацию с учетом специфики приложений, чтобы защитить приложения от воздействия неподконтрольных вам компьютеров и сетей.
• Расширенные возможности мониторинга и ведения журналов помогают контролировать соблюдение политик путем отслеживания всех действий пользователя и того, как этот пользователь использует различную информацию.

Охрана информации.

Всеобъемлющее применение политик помогает строго соблюдать законодательные и корпоративные нормы, требующие установления такого режима пользования информацией, который ограничил бы потенциальные убытки и ответственность при ненадлежащем обращении с секретной корпоративной информацией.

• Надежный контроль и верификация безопасности оконечного устройства доступа помогает обеспечить сохранение работоспособности оконечных устройств и управление сеансами подключения.
• Браузер обеспечивает более полный контроль за доступом пользователя к веб- и не веб-ресурсам.
• Полное удаление всех данных сеанса на клиентской стороне при завершении сеанса помогает обеспечить соблюдение корпоративного режима пользования информацией.

Ключевые аспекты

• Уникальное сочетание доступа через SSL VPN, интегрированной защиты приложений и управления безопасностью оконечных рабочих мест.
• Мощный брандмауэр для веб-приложений помогает предотвратить проникновение вредоносного кода и утечки закрытой информации.
• Эта всесторонняя и удобная в эксплуатации технологическая платформа делает менее сложным контроль уровня безопасности доступа и защиту корпоративных информационных ресурсов.
• Продукт легко интегрируется с базовой инфраструктурой приложений Microsoft, сторонними промышленными приложениями и заказными системами, в том числе с системами собственной разработки.

Типовые сценарии и особенности реализации

Безопасный доступ к приложениям

Унифицированная SSL VPN, фильтрация уровня приложений и контроль защищенности оконечных устройств доступа в совокупности обеспечивают сотрудникам защищенный интранет-доступ к критически важным приложениям, документам и данным с самых разных устройств и из самых разных точек планеты.

Управление доступом
• Механизм единой регистрации (Single Sign-On) сразу в нескольких каталогах, а также в нестандартных службах каталогов
• Портал, работа которого определяется личностью пользователя, с поддержкой одновременно нескольких различных конфигураций

Защита информационных ресурсов
• Управление доступом к приложениям, ресурсам и файлам, размещенным в сети интранет, осуществляется с помощью политик, поддерживающих контроль на уровне списков ACL
• Брандмауэр для веб-приложений поддерживает фильтрацию содержания, команд и адресов URL с учетом специфики различных приложений

Охрана информации
• Всеобъемлющие средства мониторинга и ведения журналов событий
• Проверка соответствия оконечных устройств доступа стандартам безопасности и управление сеансами

Адаптируемая система корпоративной безопасности

Гибкое и дифференцированное разграничение доступа к ресурсам сетей экстранет в виде веб-приложений и опубликованных унаследованных приложений для сотрудников и деловых партнеров; при этом обеспечивается защита базовой инфраструктуры с использованием быстро адаптируемой системы безопасности, которая учитывает специфику работы различных приложений.

Управление доступом
• В отношении сторонних приложений применяется специальная внутренняя политика для интранет- приложений
• Гибкая настройка конфигураций и контекстно-зависимый портал, который по-разному работает и выглядит для разных внешних групп

Защита информационных ресурсов
• Система способна обучаться и адаптироваться к новым/нестандартным приложениям
• Широчайший набор средств для проверки подлинности/авторизации

Охрана информации
• Механизм преобразования адресов URL и дополнительная обработка данных позволяют предоставить конечным пользователям только необходимую им информацию

Многоуровневая детализированная защита информации

Детализированные политики разграничения доступа с учетом личности конкретного пользователя помогают обеспечить контроль надлежащего пользования информацией, а также строгое соблюдение всех законодательных и отраслевых стандартов защиты информации при организации доступа через Интернет и мобильного доступ с неподконтрольных вам оконечных устройств.

Управление доступом
• Удобные средства настройки и доработки рабочего окружения пользователя, функциональных возможностей и политик обеспечивают максимальное удобство защищенного доступа
• Дифференциация рабочего окружения для различных мобильных устройств

Защита информационных ресурсов
• Переадресация портов и сокетов обеспечивает подключение через SSL на сетевом уровне
• Распознавание полезной/бесполезной входящей информации для размещения в защищенных областях

Охрана информации
• Расширенные средства мониторинга обеспечивают отслеживание работы с ресурсами и устранение неполадок в работе удаленных оконечных устройств доступа
• Средства очистки устройства доступа после сеанса обеспечивают удаление регистрационных данных пользователя, меток cookie, а также всех видов кэшированных данных

Дополнительные продукты

• Microsoft ISA Server 2006. Представляет собой межсетевой экран с интегрированными сервисами, который позволяет защитить ИТ-среду от угроз, поступающих через Интернет, одновременно обеспечивая пользователям быстрый и безопасный удаленный доступ к приложениям и данным.
• Microsoft Windows Server 2003 или 2008 (доступен в продаже с 2008 г.). Одна из самых эффективных платформ для создания инфраструктуры сетевых приложений, сетей и веб-служб, позволяющая организовать работу в организациях любого масштаба – от рабочей группы до центра обработки данных. Удобные инструменты для развертывания, управления и сопровождения, входящие в состав Windows Server, помогут вам быстро развертывать сетевые решения, обеспечивающие продуктивную совместную работу с информацией.
• Microsoft System Center Operational Manager . Система для сквозного управления сервисами, которая лучше всего подходит с технологиями и приложениями Microsoft, поскольку помогает сократить простои серверов и приложений, улучшить превентивное управление ИТ-инфраструктурой компании, а также снизить затраты времени и денег на устранение неполадок и решение проблем с серверами. Ключевое преимущество OpsMgr 2007 – это знания, заключенные в доустанавливаемых пакетах управления Management Packs.
  Для средних компаний можно предложить облегченную версию OpsMgr с интеграцией компонентов автоматического управления установкой с обновлениями для систем – Microsoft System Center Essentials 2007.
• Microsoft Forefront Client Security. Предельно простые в управлении и эксплуатации средства защиты операционных систем корпоративных серверов, рабочих станций и ноутбуков от вирусов и шпионских приложений. Поддерживая централизованное администрирование и предоставляя исчерпывающую информацию обо всех угрозах и уязвимостях, решение Forefront Client Security помогает обеспечить более качественную и эффективную защиту.
• Microsoft Forefront Security for SharePoint. Данный продукт оптимизирован для совместного использования с серверами Office SharePoint Server 2007 и службами Windows SharePoint Services, предлагает качественные антивирусные механизмы и средства защиты информационного наполнения, обеспечивает производительную работу сервера, а также упрощает управление корпоративной средой коллективной работы.
• Microsoft Forefront Security for Exchange. Данный продукт использует несколько сканирующих технологий, разработанных ведущими производителями средств защиты и объединенных в одном решении. Эти технологии обеспечивают максимально эффективную защиту корпоративных сред на базе Exchange Server от вирусов, сетевых «червей» и спама.
• Microsoft Forefront Server Security Management Console. Специализированный продукт, упрощающий работу с продуктами Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint и Microsoft Antigen. Он позволяет быстрее реагировать на попытки вторжений и обновлять средства безопасности корпоративных рабочих сред, тем самым повышая «иммунитет» организации против новых разновидностей угроз.
• Подписка TechNet Plus обеспечивает ИТ-специалистам онлайновый доступ к информации и ресурсам, необходимым для выполнения служебных обязанностей. Подписчики получают полнофункциональные и неограниченные по времени использования ознакомительные версии программных продуктов Microsoft, право на два инцидента профессиональной технической поддержки по телефону, неограниченный доступ к форумам Microsoft Managed Newsgroups с гарантией ответа на заданный вопрос не позднее следующего рабочего дня, а также специальные программные инструменты, обновления безопасности, пакеты исправлений и многое другое.

Типовые технические вопросы

Какие выгоды дает применение Microsoft Internet Security & Acceleration (ISA) Server и IAG в виде интегрированного аппаратного решения?

Наличие технологии Microsoft ISA Server в системе IAG делает ее поистине универсальным решением для обеспечения максимально безопасного доступа в самых разных сценариях. ISA Server идеально подходит для ситуаций, где нужен шлюз уровня филиала для обеспечения связности и безопасности между сетями разных площадок, где нужен контроль доступа и кэширование данных Интернета на уровне центра обработки данных, где нужно организовать полноценное сетевое подключение удаленных подконтрольных ПК (через IPsec VPN), а также в ситуациях, где требуется обеспечить повышенную безопасность с использованием брандмауэра для входящих и исходящих данных. IAG предоставляет доступ через веб-интерфейс, более детализированные политики, контроль доступа с мощным механизмом проверки безопасности оконечных устройств доступа, а также более широкие возможности доступа для неподконтрольных ПК и мобильных устройств либо из неизвестных/не имеющих благополучной репутации сетей. Вдобавок к этому, если на предприятии есть приложения собственной разработки, инструментарий разработчика Optimizer Toolkit поможет адаптировать IAG к любым специфическим требованиям безопасности и корпоративной политики.

Собирается ли Microsoft поддерживать технологии оптимизации IAG для сторонних (не от Microsoft) приложений, например разработки IBM?

Компания Whale Communications выделилась на рынке тем, что одной из первых сосредоточилась на безопасности прикладного уровня, обеспечив соблюдение политик вплоть до уровня приложений в сочетании с максимальным удобством доступа к любым веб-приложениям, а также к клиент-серверным и сетевым приложениям. Microsoft заявляет о своем намерении продолжать развитие и поддержку технологии Whale и собирается уделять самое пристальное внимание оптимизации этой технологии для работы с приложениями Microsoft и сторонних разработчиков. Microsoft также берет на себя обязательства по созданию универсальной платформы безопасного доступа, которая поможет заказчикам расширять и контролировать сферу действия своих информационных систем; тем самым заказчики получат достаточную гибкость и высокий уровень контроля при обеспечении удаленного доступа в широком спектре сценариев удаленной работы пользователей.

Какие компоненты включены в это интегрированное устройство?

Данное интегрированное аппаратное решение построено на базе операционной системы Microsoft Windows Server 2003, настраиваемого шлюза приложений Intelligent Application Gateway 2007 и сервера Internet Security and Acceleration Server 2006.

SSL VPN . Лучшая в своем классе система SSL VPN с широким выбором способов подключения и доступа, поддерживающая управление проверкой подлинности и авторизацией пользователей с помощью политик.

Встроенный модуль IPsec VPN . Отслеживает безопасность входящих данных и защищает сеть от атак изнутри, выполняемых с использованием VPN-шлюза и удаленных клиентских VPN-подключений.

Обеспечение безопасности оконечного устройства доступа . Интегрированные средства обеспечения безопасности оконечных устройств доступа и контроля доступа, в том числе технология очистки кэша Attachment Wiper, обеспечивают контроль соблюдения детализированных политик на уровне браузера, отслеживают соблюдение стандартов защиты информации на оконечном устройстве, а также обеспечивают безопасность сеанса.

Защита периметра сети . Передовой брандмауэр с контекстной проверкой пакетов и контролем передаваемых данных на прикладном уровне защищает ИТ-ресурсы от взломщиков, вирусов и иных нежелательных явлений, таких как шпионские программы.

Защита инфраструктуры приложений . Фильтрация с положительной логикой обеспечивает попадание на внутренние серверы только легитимных данных; кроме того, обеспечивается детальная привязка пользовательских сеансов к ресурсам.

Предоставляет ли сам по себе договор обслуживания с OEM-производителем право на обновление программного обеспечения?

Нет. Чтобы получить право на обновление программного обеспечения, заказчик должен приобрести у Microsoft контракт Software Assurance.

Какие компоненты нужны для получения права на обновление ПО?

Чтобы получить право на обновление программного обеспечения, заказчик должен приобрести не только контракт на обслуживание у OEM-производителя, но и контракт Software Assurance.

На какой период будет предоставляться контракт Software Assurance, если у меня  уже есть контракты на обслуживание (Maintenance)?

Заказчики, у которых уже заключены договора на обслуживание, получат контракт Software Assurance на срок приблизительно до окончания действия контракта обслуживания (Maintenance Agreement), но не ранее чем до 31 января 2008 г.

Могу ли я приобретать клиентские лицензии CAL у OEM-производителей? Как в этом случае следует поступать с контрактом Software Assurance?

Заказчики могут приобрести клиентские лицензии CAL непосредственно у OEM-производителей. В то же время контракт Software Assurance приобретается только в рамках программы корпоративного лицензирования Microsoft Volume Licensing.

Имеется ли в IAG 2007 техническая возможность контролировать наличие клиентских лицензий CAL?

IAG 2007 не обладает технической возможностью контролировать правильное лицензирование клиентских устройств с использованием клиентских лицензий CAL; используется доверительная модель.

Какие варианты приобретения предлагаются тем, кто работает по соглашениям Enterprise Agreement?

Устройство и обслуживание (Appliance & Maintenance). Обратитесь к одному из партнеров Microsoft по поставкам оборудования (Partner Hardware Vendor): (1) компания Celestix Networks, Inc.; (2) компания Network Engines, Inc.

Клиентские лицензии + SA (CAL & Software Assurance). Обратитесь к одному из партнеров Microsoft Partner, перечисленных на странице http://directory.microsoft.com/mprd/

Варианты программ «Appliance & Maintenance» или «CAL & Software Assurance». На территории США вы можете позвонить по телефону (800) 426-9400, чтобы поговорить со специалистом отдела продаж компании Microsoft.

Дополнительные материалы

Профили целевых клиентов

Общий удаленный доступ для сотрудников
• Обмен сообщениями и коллективная работа с информацией, системы управления взаимоотношениями с клиентами (CRM), системы учета кадров (HR), автоматизация торговли, планирование ресурсов предприятия (ERP)

Удаленный доступ сотрудников с разграничением по приложениям
• Только эл. почта, только системы управления кадрами (HR)

Удаленный доступ к отдельным приложениям для партнеров
• ERP, SharePoint Server, CRM

Бесперебойная работа организации в разных часовых поясах
• Связь с удаленными офисами

Любые комбинации вышеперечисленных компонентов

Конкурентные преимущества в типичных схемах развертывания

Пример	Описание	Полезные возможности
Базовый доступ через SSL VPN	Корпоративные клиенты, органы местного самоуправления, малый и средний бизнес (региональные каналы, прямые продажи)	Портал SSL VPN с механизмом единой регистрации Single Sign-On обеспечивает базовый доступ через браузер с проверкой защищенности оконечного устройства доступа Предоставляются транспортные возможности и средства контроля для публикации и организации доступа к веб-приложениям, клиент/серверным приложениям и унаследованным системам Технология Attachment Wiper обеспечивает соблюдение политик загрузки документов и работы с браузером с учетом личности пользователя, его/ее местонахождения и статуса оконечного устройства доступа Фильтрация на прикладном уровне, технология Application Wrapper™ и преобразование адресов узлов помогают защитить ресурсы от вредоносного ПО Модуль управления загрузкой данных Download Manager обеспечивает соблюдение ограничений по адресам URL
Расширяемость приложений и доступ к приложениям в рамках предприятия	Крупные корпорации (прямые продажи, через торговых представителей)	Готовые модули защиты Application Optimizer для более чем 40 приложений, а также инструментарий для поддержки других серийных и заказных приложений Индивидуальная настройка параметров очистки кэша для отдельных приложений гарантирует, что никакие данные не сохранятся по неосторожности на оконечном устройстве после завершения сеанса Индивидуальная настройка предельного времени ожидания для отдельных приложений защищает систему от небрежности пользователей, например когда они забывают выйти из системы Возможности индивидуальной настройки страниц входа и рабочей среды пользователя в рамках портала с поддержкой нескольких схем проверки подлинности
Доступ с учетом специфики приложений (готовое к работе решение)	Крупные корпоративные клиенты, органы власти, средний бизнес (региональные каналы, прямые продажи, торговые представители)	IAG сохраняет в неприкосновенности функциональные возможности, внешний вид и поведение приложений в пределах единой платформы, управляемой с помощью политик Средства детализации политик на уровне отдельных приложений позволяют блокировать просмотр вложений, переадресацию почты и передачу файлов в любом направлении Средства детализированного разграничения доступа с учетом специфики работы отдельных приложений основаны на идентификации личности пользователя Возможности масштабирования позволяют поддерживать доступ к одному и тому же приложению для большого числа пользователей, разделенных на группы с отдельными политиками для разных групп

Выгоды интегрированного решения

Ресурс	Функции ISA Server 2006	Функции Intelligent Application Gateway
Базовый доступ к приложениям с клиентских устройств, поддерживающих работу с веб-интерфейсом, когда не нужна отдельная политика по работе с различными информационными ресурсами		Гибко настраиваемый и дифференцируемый доступ к приложениям с контролем личности пользователя, атрибутов содержания/файлов, адреса URL и состояния средств безопасности на клиентском устройстве
Microsoft Exchange Server, SharePoint Portal Server	Проверка/фильтрация протоколов Предварительная авторизация Анализ содержания с учетом специфики работы системы OWA Контроль соблюдения политик на уровне пользователей и приложений Преобразование ссылок SharePoint Удобные в обращении мастера публикации приложений	Обширный набор средств предварительной проверки и единой регистрации Защита данных с учетом специфики различных приложений Блокирование отдельных функций/модулей приложений на основании профиля оконечного устройства доступа Проверка защищенности оконечного устройства доступа Кэширование данных на стороне клиента и очистка кэша после сеанса (Attachment Wiper™) Поддержка многочисленных управляемых через политики конфигураций портала с преобразованием ссылок Гибкая и настраиваемая рабочая среда портала с поддержкой автоматического запуска приложений Встроенная поддержка служб SharePoint
Доступ к сетевым файловым ресурсам	Через IPsec VPN	Общий доступ к файловым ресурсам сервера через SSL VPN и полноценный доступ ко всей сети Доступ к домашней папке пользователя и общим папкам с файлами (через веб-интерфейс) Контроль безопасности и соблюдения политик на уровне файлов Управление сеансами и обеспечение безопасности сеансов (очистка кэша на клиентском устройстве)
Клиент/сервер	Встроенная поддержка Outlook/Outlook 2003	Доступ через SSL VPN с использованием практически любого клиентского приложения или серверного прокси Политика учитывает профиль оконечного устройства доступа и обеспечивает управление сеансом с учетом специфики конкретного приложения Полная поддержка программ Microsoft Office на клиентских устройствах Обеспечивается точная идентификация клиентских исполняемых файлов; эта возможность позволяет туннелировать только отдельные приложения Поддержка защищенных версий протокола Telnet, а также встроенная поддержка клиентов на базе терминалов службы Terminal Services
Мобильный	Outlook Mobile Access и Exchange Публикация интерфейсов ActiveSync Проверка подлинности с использованием сертификатов	Возможность выбора нужной страницы микропортала с учетом используемого браузера с изменяемой процедурой входа/завершения работы Фильтрация команд OMA и адресов URL Автоматическое определение устройств; поддержка принудительной доставки электронной почты (Push Mail)
Прочее	Приложения с веб-интерфейсом Базовые средства публикации серверного ПО Карантин каналов IPsec VPN	Настраиваемый веб-портал Поддерживаются любые веб-приложения с сохранением полной защищенности содержания Механизм однократной регистрации пользователя Single Sign-On вместо регистрации в многочисленных каталогах Можно быстро опубликовать практически любое не веб-приложение Всеобъемлющие средства мониторинга и ведения журналов обеспечивают тщательное отслеживание пользования информацией

Дополнительные ресурсы

Информация о продукте: www.microsoft.com/forefront/edgesecurity/iag

Новости и обновления: www.microsoft.com/forefront/edgesecurity

Сайт продукта (на английском): www.microsoft.com/forefront/edgesecurity/iag/default.mspx

Информация по лицензированию продуктов Microsoft: www.microsoft.com/rus/licensing/products/default.mspx

Примеры лицензионных соглашений и документ «Лицензионные права на использование продуктов Microsoft»: www.microsoft.com/rus/licensing/general/examples/default.mspx