Upgrade ISA Server 2006 na Forefront Threat Management Gateway 2010 s podporou vysoké dostupnosti
Březen 31, 2011
Společnost AŽD Praha a.s. se rozhodla pro nahrazení stávajícího řešení síťové bezpečnosti, kterou zajišťoval „Internet Security and Acceleration Server 2006“ novinkou od společnosti Microsoft – „Forefront Threat Management Gateway 2010“. Projekt byl součástí komplexní změny strategie na poli serverových řešení AŽD Praha. Jedním z cílů bylo zajištění vysoké dostupnosti Forefront TMG serverů a proto byla vybrána edice Enterprise, která využívá komponenty Network Load Balancing ve Windows Server 2008 R2, díky které bylo požadovaných cílů v této oblasti dosaženo.
Kategorie: Bezpečnost, Forefront produkty | Autor: Jan Pilař
Situace
Bezpečnost je obor, který je společnosti AŽD Praha vlastním. Dá se říci, že je to klíčová oblast podnikání, ve které je špičkou svého oboru s dlouholetými zkušenostmi, které jsou podložené výbornými referencemi. Na produktech, které AŽD Praha vyrábí a implementuje svým zákazníkům, závisí denně životy desetitisíců lidí. Bezpečnost však není pro AŽD Praha jen předmětem prodejů automatizační a zabezpečovací techniky. Bezpečnost je zároveň oblastí, která je striktně vyžadována. Forefront TMG je přesně tím nástrojem, který poskytuje takovou úroveň zabezpečení, jakou nabízí svým zákazníkům sama AŽD Praha. Tedy profesionální, stabilní řešení, se kterým má jeho výrobce, společnost Microsoft, výborné reference podložené dlouholetými zkušenostmi v oblasti síťové bezpečnosti. Zároveň, díky svým vlastním pozitivním zkušenostem s řešením postaveném na ISA Server 2006, se AŽD Praha rozhodla pro nasazení jeho nástupce - Forefront TMG ve verzi 2010, v edici Enterprise s řešením vysoké dostupnosti pomocí Network Load Balancing.
Cíle
Cílem celého projektu byla modernizace stávajícího řešení síťové bezpečnosti a hraničního firewallu společnosti AŽD Praha. Původní bezpečnostní infrastruktura reflektovala dobu, ve které byla společnost AŽD Praha po roce 2006. Vzhledem k pokrokům, které v této oblasti společnost Microsoft s řešením Forefront TMG 2010 docílila, již nastala pravá doba pro implementaci nástupce ISA Server 2006. Rozhodnutí IT Managementu bylo jednohlasné právě díky dobrým zkušenostem s jeho předchůdci. Nové řešení s sebou ruku v ruce neslo i nové cíle a očekávání. Ty se dají charakterizovat takto:
- Nasazení Forefront TMG ve scénáři vysoké dostupnosti
- Zvýšení rychlosti bezpečnostního řešení díky přechodu na 64bitovou platformu
- Podpora virtualizačního řešení Hyper-V
- Snížení celkových nákladů na vlastnictví
- Podpora Windows Server 2008 R2 jako hostujícího operačního systému
- Podpora duálních internetových linek pro zajištění vysoké dostupnosti internetového provozu
Řešení
V rámci tohoto projektu, bylo přistoupeno k úplné migraci na nové řešení síťové bezpečnosti. Jedním z cílů byla příprava celého prostředí pro nasazení Forefront TMG ve scénáři vysoké dostupnosti a to díky technologii Network Load balancing (NLB). NLB je součástí serverového operačního systému Windows Server 2008 R2 všech edicí. Společnost AŽD Praha velmi ocenila tuto provázanost Forefront TMG s operačním systémem, kdy díky ní nemusela řešit náklady spojené s nákupem řešení rozložení zátěže produktů třetích stran.
Obrázek 1: Schéma přístupu k internetu
Migrace zahrnovala úplné nahrazení původního řešení postaveném na ISA Serveru 2006. V rámci nasazení byly migrovány taktéž všechny VPN spoje mezi pobočkami společnosti AŽD Praha i individuální VPN spoje mobilních uživatelů. Veškerá aktivita je ukládána formou logů do lokálních SQL databází, kde jsou uložené po dobu 90. dnů.
Celkový koncept řešení síťové bezpečnosti může být dále rozvíjen návaznými technologiemi jako je Network Access Protection či využití dalších bezpečnostních technologií od společnosti Microsoft.
Forefront TMG dále plní tyto role či moduly:
- Proxy server
- Network Inspection System
- Publikace pravidel pro Exchange Server, Sharepoint Server a další služby…
Součástí implementace nového řešení Forefront TMG byla i instalace bezpečnostního modulu GFI WebMonitor, který je využíván v Proxy serveru. Tím je zajištěno, že veškerý HTTP provoz je kontrolován pomocí několika antivirových jader. Dále je prováděna kontrola prohlíženého obsahu navštívených webových stránek. Tím je zajištěna antivirová bezpečnost již na úrovni procházení internetových stránek uživatelem.
Jak je na tomto případu vidět, platforma TMG je nadále rozšiřitelná a vzniká zde velký prostor pro množství rozšíření od výrobců třetích stran.
Při nasazení byl rovněž konfigurován NIS (Network Inspection Service) jako modul, který významnou měrou rozšiřuje bezpečnost sítě. Toto rozšíření kontroluje veškerý síťový provoz proti pokusům o napadení síťové bezpečnosti, či cíleného útoku na některý ze serverů či stanic v síti AŽ Praha. Podezřelý, či nebezpečný provoz je identifikován pomocí vydávaných definicí přímo od výrobce z Microsoft Malware Protection Center. V případě výskytu závadného provozu na síti tento modul může provoz označit jako „podezřelý“ nebo přímo komunikaci zablokovat. Při implementaci byl závadný provoz nejdříve pouze označován a následně bylo nastaveno blokování nebezpečného provozu. Podle dosavadních měření tak společnost AŽD Praha blokuje průměrně deset útoků denně.
Součástí migrace z ISA serveru byl i kompletní přenos publikačních pravidel. Po migraci je TMG využíváno k publikaci:
- Exchange serveru
- Sharepoint serveru
- Exchange Edge serveru (SMTP)
- a dalších…
Při publikaci funkce Outlook Anywhere, bylo nově využito funkcionality „Enforce strict RPC compliance“ kdy je RPC komunikace procházející přes TMG striktněji kontrolována a případně blokována.
Licenční model
Microsoft Select
Přínosy
Společnost AŽD Praha ocenila, že se po dobrých zkušenostech s původním řešením na platformě ISA Serveru mohou nadále spolehnout na nástupce od společnosti Microsoft, aktuálně pod hlavičkou Forefront Threat Management Gateway 2010. Onen pověstný pocit bezpečí je v tomto konkrétním případě zcela na místě. Forefront TMG se stará o síťovou bezpečnost a internetový provoz pro více jak 1200 počítačů a 1700 uživatelů. Partner, společnost KPCS CZ, předala do projektu jak své dlouholeté zkušenosti na poli bezpečnosti IT systémů, tak konkrétní poznatky z úspěšných implementací Forefront TMG u jiných zákazníků. Implementace tak zabrala předem domluvený časový rámec.
Největší přínosy pro AŽD Praha se dají definovat takto:
- Nové možnosti v ochraně před Malware, či URL filtering
- Vyřešení dlouhodobého přetížení firewallu, který byl implementován na 32bitové architektuře
- Větší propracování modelu použití Enterprise edice s NLB oproti předchozímu řešení
- Nové možnosti kompletní kontroly SSL spojení
- Podpora Windows Server 2008 R2 v roli hostujícího serverového operačního systému
- Podpora virtualizační technologie Hyper-V pro další NLB nody
Jedním z majoritních přínosů se stala rychlost. Oblast mnohdy opomíjená na poli konkrétních serverových řešení se zde stává klíčovou výhodou. Po letech růstu společnosti, navyšování počtu zaměstnanců a techniky již bylo dosaženo limitů 32bitové architektury. Podpora 64bitové platformy se tak u Forefront TMG setkalo s patřičným pozitivním efektem.
Citace
"Z mého pohledu je celý produkt TMG povedený, je na něm vidět hodně práce která se dle mého názoru povedla."
František Konrád, Manažer ICT