Использование виртуальных решений SSL VPN для безопасного доступа и работы с информационными ресурсами Халяпин Сергей Руководитель системных инженеров [email protected] 26 февраля 2010г.
Использование виртуальных решений SSL VPN для безопасного доступа и работы с информационными ресурсами
Халяпин СергейРуководитель системных инженеров[email protected] февраля 2010г.
Выбор безопасного доступа
За Против
IPSec VPN •Аутентификация пользователя
•Шифрование
•Безопасный доступ ко всем ресурсам
датацентра
•Безопасное защищѐнное устройство
•Доступ или полный или нет доступа (нет
возможности контроля доступа на уровне
приложений)
•Требует установки клиента
•Не работает с неуправляемыми
устройствами
SSL VPN •Аутентификация пользователя
•Шифрование
•Безопасный доступ ко всем ресурсам
датацентра
•Гранулярный контроль доступа,
основанный на политиках
•Анализ конечного устройства
•Не требуется установка клиента
•Безопасное защищѐнное устройство
•Множество методов доступа
•Более высокая стоимость чем у других
Зачем быть виртуальным
• Быстрое внедрение• Первоначальное время внедрения может быть сокращено с дней до нескольких часов
• Быстрое восстановление• Замена оборудования в случае неисправности в лучшем случае займѐт от 2 до 5 бизнес дней
• Виртуальное устройство может быть запущено в течении нескольких минут
• Снижение количества устройств в ЦОД• Виртуальное устройство может размещаться совместно с другими виртуальными машинами
на одном сервере, снижение занимаемого пространства, требований по электропитанию и затрат на охлаждение
• Тестирование и Обучение• Экономически эффективный путь обучения продукту и проверки новых конфигураций
На какие вопросы отвечают решения SSL VPN
Какой ресурс?
Кто и где?
Анализ конечного устройства
Аутентификация
Контроль Доступа
Какой
польз.
Какое
устройство
ОткудаКак
аутентифици
руемся
Web и
Файл
серверы
Сети
Почтовые
серверы
Приложения
Repeater
Ускорение
Как быстро?
Как?
Контроль действий
VPN
Доступ
Безклиентскийдоступ
•Applications
•Virtual
Channels
•Desktops
•Virtual
Channels
Сценарий Доступа: Корпоративный пользователь локальной сети
Интернет
ПК партнеров
Fir
ew
all
Fir
ew
all
Файловые сервера
Веб сервера
Опубликованные
приложения
Локальные
пользователи
SSL VPN ПО контроля доступаПочтовые сервера
ПК и телефоны
OK
• Загрузка файлов и доступ к информации:
• Загрузка файлов разрешена
• Загрузка только в память
• Доступ только через CPS
• Только предпросмотр в HTML
• Редактирование и сохранение изменений:
• Сохранение локально
• Сохранение только в сети
• Сохранение запрещено
• Печать
• Печать локально
• Печать только на указанные принтеры
• Печать запрещена
• Опубликованные приложения
Мобильные КПК
Домашние ПК
Корпоративнй ноутбук
Сценарий Доступа: Корпоративный пользователь из гостиницы
Internet
ПК партнера
Fir
ew
all
Fir
ew
all
Файловые сервера
Веб сервера
Опубликованные приложения
SSL VPNПочтовые сервера
ПК и телефоны
OK
• Загрузка файлов и доступ к информации:
• Загрузка файлов разрешена
• Загрузка только в память
• Доступ только через CPS
• Только предпросмотр в HTML
• Редактирование и сохранение изменений:
• Сохранение локально
• Сохранение только в сети
• Сохранение запрещено
• Печать
• Печать локально
• Печать только на указанные принтеры
• Печать запрещена
• Опубликованные приложения
ПО контроля доступа
Мобильный КПК
Домашний ПК
Корпоративный ноутбук
Сценарий Доступа: Корпоративный пользователь из дома
Internet
Мобильный КПК
Домашний ПК
ПК Партнера
Fir
ew
all
Fir
ew
all
Файловые сервера
Веб сервера
Опубликованные приложения
SSL VPN
Корпоративный ноутбук
Почтовые сервера
ПК и телефоны
OK
ПО контроля доступа
• Загрузка файлов и доступ к информации:
• Загрузка файлов разрешена
• Загрузка только в память
• Доступ только через CPS
• Только предпросмотр в HTML
• Редактирование и сохранение изменений:
• Сохранение локально
• Сохранение только в сети
• Сохранение запрещено
• Печать
• Печать локально
• Печать только на указанные принтеры
• Печать запрещена
• Опубликованные приложения
Возможные механизмы Аутентификации
Механизмы аутентификацииLDAP
RADIUS
NTLM
TACACS+
Токены одноразовых паролей
Сертификаты клиента & смарткарты
Локальное хранилище
Анализ Клиентского ОборудованияEPA проверяет пользовательские
устройства:Может быть выполнено, до или после аутентификации
пользователя
Абсолютно опционально
EPA предназначен для:Блокирования доступа неподходящего оборудования
Настройки уровней авторизации, используя SmartAccess
Встроенные проверки:Файлов, процессов и ключей реестра
OS и Пакеты Обновлений (Service Pack)
Тип и версия Браузера
Клиентские сертификаты
Антивирусные программы
Очистка Данных Клиента при Выходе
• Ничего
• Только Браузер
• Всѐ
• Список всех очищаемых объектов
• Описания
Простой Уровень Очистки
РасширенаяОчистка
Форм фактор Виртуального Устройства• Та же прошивка и функции как у модели 2010
• Работает как виртуальная машина для гипервизора XenServer 5.5
• Паравиртуализированные драйверы для оптимальной производительности
Низкая сложность; просто внедрять
Поддерживает до 500 одновременных пользователей
Access Gateway VPX
Citrix
Acces
s G
ate
way
VP
X