Suchen

Microsoft Forefront Stirling soll Security-Tools bündeln – Teil 3

IDS-, NAP- und Policy-Funktionen innerhalb der neuen Security-Suite

Seite: 2/3

Firmen zum Thema

Das Intelligent Access Gateway

Erneuert wird auch das Intelligent Access Gateway (IAG). Das IAG ist im Kern ein VPN-Gateway, dass externen Benutzern den Zugang auf Applikationen im Unternehmen ermöglicht. Ein umfangreiches Berechtigungskonzept erlaubt dabei einen flexiblen Einsatz des Gateways. Die Nutzer des IAGs können die eigenen Mitarbeiter, aber auch Partner oder Besucher sein.

Als Entscheidungskriterien für die Applikationszuordnung fließen mehrere Faktoren ein. So erhalten die Benutzer in Abhängigkeit von der Konfiguration des Gerätes, das sie für den Zugang verwenden, dessen Sicherheitsstatus und den Login-Angaben des Benutzers unterschiedliche Zugangsberechtigungen und Applikationen zugewiesen.

Das IAG wird in Zukunft zum Unified Access Gateway ausgebaut. Die Zielsetzung Applikationen nach außen verfügbar zu machen, bleibt dabei aber die Kernaufgaben. Das IAG wird setzt bei der sicheren Kommunikation auf SSL.

Security-Policies legen die Kommunikationsregeln fest

Die Grundlage für die Verwaltung stellen Security-Policies dar, welche in abstrakter Form all die Sicherheitseinstellungen für die Geräte beschreiben. Diese Policies werden dann durch das Active Directory den Benutzer- oder Rechnergruppen zugeordnet.

Durch eine n:n-Zuordnung der Policies an mehrere Benutzer- bzw. Rechnergruppen lassen sich dabei recht flexible Verwaltungsstrukturen aufbauen.

Diese Zuordnung der Gruppen kann aber auch dynamisch erfolgen. Dies ist die Voraussetzung für die laufende Überwachung und den Konzepten des „Dynamic Response Systems“.

Ändert beispielsweise ein Benutzer an seiner Firewall-Konfiguration eine Einstellung oder deaktiviert sie gänzlich, so erhält der Benutzer einen neuen Sicherheitsstatus. Ein ähnliches Verfahren wird auch bei NAP angewandt.

Sicherlich wird Forefront sehr eng mit NAP zusammenspielen. In diesem Verbund übernimmt NAP die Überwachung des Clients und dessen Prüfung auf den Sicherheitsstatus. Die Verwaltungsmodule von Forefront wiederum kümmern sich mehr um die zentrale Konfiguration und das Zusammenspiel mit den weiteren Servern. Denn NAP betrachtet nur einen einzelnen Client, aber keinesfalls dessen Interaktionen mit den weiteren Backend-Servern.

In den Policies kann zum Beispiel festgelegt werden, dass ein Virus automatisch entfernt werden soll oder wie die Firewall-Einstellungen aussehen müsste. Durch diese Konfigurationen lassen sich auch weitaus granularere Einstellungen der gesamten Sicherheitskonfiguration vornehmen und verwalten.

Seite 3: Policy-Verteilung durch Forefront

(ID:2018376)