Biztonságos levelezés

Download Report

Transcript Biztonságos levelezés

Szolgáltatás
Perem
(forgalom)
Szerver
(tartalom,
levelezés)
Kliens
(végpont)
Azonosítás- és
hozzáféréskezelés
Biztonságos levelezés
Biztonságos csoportmunka
Adatvédelem
Azonosság- és hozzáférés-kezelés
Biztonságos végpont
Biztonságos levelezés
Biztonságos csoportmunka
Adatvédelem
Azonosság- és hozzáféréskezelés
Biztonságos végpont
BitDefender
FortiMail
Kaspersky
TRUE negative
2457
2453
2449
False Positive
FP Rate
1
5
9
0.04%
0.20%
0.37%
False negative
5144
5401
5148
True Positive
246805
246548
246801
SC Rate
97.96%
97.86%
97.96%
Final Score
97.84%
97.26%
96.85%
M86 Mailmarshall
2454
4
0.16%
1717
250232
99.32%
98.84%
McAfee Email Gateway
McAfee EWSA
MessageStream
MS Forefront
MXTools
Sophos
SPAMfighter
SpamTitan
Sunbelt VIPRE
Symantec Brightmail
Webroot
Spamhaus
2438
2456
2452
2454
2458
2454
2446
2452
2444
2456
2456
2458
20
2
6
4
0
4
12
6
14
2
2
0
0.81%
0.08%
0.24%
0.16%
0.00%
0.16%
0.49%
0.24%
0.57%
0.08%
0.08%
0.00%
2208
4281
2762
602
4922
1787
5099
1858
4004
2263
3192
5529
249741
247668
249187
251347
247027
250162
246850
250091
247945
249686
248757
246420
99.12%
98.30%
98.90%
99.76%
98.05%
99.29%
97.98%
99.26%
98.41%
99.10%
98.73%
97.81%
96.69%
98.06%
98.18%
99.28%
98.05%
98.81%
96.51%
98.54%
96.70%
98.86%
98.49%
97.81%
http://www.microsoft.com/hun/technet/article/?i
d=c0561dca-a596-4b55-b4c7-de2738b0fc99
http://technetklub.hu/content/forefrontprotectio
nforexchange.aspx
Biztonságos levelezés
Biztonságos
csoportmunka
Adatvédelem
Azonosság- és hozzáféréskezelés
Biztonságos végpont
Biztonságos levelezés
Biztonságos csoportmunka
Adatvédelem
Azonosság- és hozzáféréskezelés
Biztonságos végpont
•
URL szűrés
•
Malware szűrés
•
HTTP / HTTPS tartalom szűrése
•
NIS – Network Inspection Service
a böngésző-alapú
sebezhetőségek eliminálására
Gál Tamás - A biztonságos web átjáró
TechNet Szakmai Nap előadás felvétele
http://technetklub.hu/content/Biztonsagoswebatjaro.aspx
Gál Tamás – A kapun túl
Microsoft Forefront Threat Management Gateway 2010 tankönyv
http://technetklub.hu/content/tmgkonyv.aspx
•
Valós idejű vírus és malware védelem a
számítógépeken (akár kliens, akár
szerver)
•
Fejlett eszközök a komplex malwarek
felfedezésére
•
Központosított felügyeleti és
jelentéskészítési eszközök a végpontok
biztonsági állapotáról
•
A Microsoft saját vírusvédelmi
kutatócsapata gyorsan reagál
Követő technikák (ismert
Megelőző technikák
veszélyek ellen)
Network Layer
FEP 2010
Windows 7
Address Space Layer
Randomization
Windows Resource Protection
Antimalware
Dynamic Translation &
Emulation
Internet Explorer 8 SmartScreen Filter
AppLocker
Vulnerability Shielding (NIS)
Windows Firewall Centralized Management
Microsoft Malware
Protection Center
Data Execution Protection
Dynamic Signature Service
Behavior Monitoring
Application Layer
File System Layer
(ismeretlen veszélyek ellen)
•
•
•
•
•
Folyamatos, transzparens, biztonságos kapcsolat bármely tartományi kliens számára
Nem kell manuálisan kapcsolódni a vállalati hálózathoz, mindez teljesen automatikus és észrevétlen
Lehetővé válik a folyamatos, helytől független távmunka
Házirend-alapú hozzáférési szabályok definiálása. Nem a helytől, hanem a végpont egészségi állapotától függ, beengedjük-e
Vállalaton belüli és kívüli gépekre is lehetővé válik az azonnali és folyamatos távfelügyelet az IT számára (pl. patchelés)
Intranet
Internet
Vállalati „belső” hálózat
Windows 7 kliens
DirectAccess
szerver
Interneten elérhető
szolgáltatások
Internal forgalom
Internet forgalom
IPv4 eszközök
IPv6 eszközök
IT desktop
felügyelet
Group Policy, NAP,
WSUS
Közvetlen kapcsolat
a belső IPv6 erőforrásokkal
Natív IPv6
+ IPSec
IPv6 / IPv4
átalakítás
DirectAccess
Server
IPSec titkosítás és hitelesítés
IPv4 támogatás
(pl. 6to4, NAT-PT, NAT64)
Lehetővé teszi a
DA: transzparens,
DirectAccessbiztonságos
kliensek
kapcsolat
VPN nélkül
felügyeletét
Internet
Windows 7
kliens
Gál Tamás - 6ártalanul: Forefront UAG + DirectAccess
TechNet Szakmai Nap előadás felvétele
http://technetklub.hu/content/Forefrontuagesdirectaccess.aspx
•
Ellenőrizhető a vállalati infrastruktúrához kapcsolódó számítógépek „egészségi” állapota (Policy Validation)
•
A rossz „egészségi” állapotban lévő gépek izolált hálózatba kerülnek (Network Restriction)
•
A nem megfelelő gépek automatikusan javíthatóak (Remediation)
•
Kikényszeríthető az „egészségi” állapot folyamatos betartása (Ongoing Compliance)
1
2
Not Policy
Compliant
Restricted Network
DHCP, VPN
Switch/Router
Microsoft NPS
3
Remediation
Servers
e.g., Path
Policy
Compliant
4
Health Policies, Patchelés,
Antivírus
5
Corporate Network
„Külső” hálózat
Belső hálózat
Health requirement
Servers
Remediation
Servers
Itt van, alkalmazd.
Folyamatos kommunikáció
az NPS kiszolgálóval
Van valami frissítés?
A munkaállomás megfelel a
A munkaállomás teljes hozzáférés kapott.
házirendnek az egészségi
Van
hozzáférésem?
állapota alapján?
Hozzáférést
kérek. Itt az új
Mellékeltem
a jelenlegi
egészségi
egészségi
állapotom.
állapotom.
Client
Korlátozott hozzáférést kaptál
amíg nem frissíted magad
Network
Access
Device
(DHCP, VPN)
A házirend szerint a
munkaállomás megfelel.
nem felel
Hozzáférés
megadva
meg. Karanténba
kell
helyezni és frissíteni kell.
Network Policy
Server
http://www.microsoft.com/hun/technet/article/?id=dfbb6ce1-8492-4334-946f-dd65cafb939f
Microsoft BitLocker
Microsoft BitLocker-To-Go
• BitLocker merevlemeztitkosítás –
• Adatlopás elleni védelem hordozható
•
•
•
•
•
bármelyik partícióra
A Trusted Platform Module (TPM)
chip védi az adatokat
A Windows boot fájlok integritásának
ellenőrzése
Multifaktoros hitelesítés
AES 128 vagy 256 bites kulcs titkosítás
A titkosító kulcs Active Directory környezetben
visszaállítható
•
•
eszközökre (USB kulcs, külső USB
merevlemez)
Ezek az eszközök rendkívül gyakran
felejtődnek ott valahol – megfelelő védelemre
van szükség
Korábbi operációs rendszerekkel is
kombatibilis (de csak olvasható módon)
Full Volume Encryption Key
Adatok
FVEK
VMK
Key
Protector
Biztonságos levelezés
Biztonságos csoportmunka
Adatvédelem
Azonosság- és hozzáférés-kezelés
Biztonságos végpont
1
4
A védelem és a
szabályok követik a
dokumentumot vagy
e-mailt
Policy
A portálokon szabadon
tárolhatunk bizalmas
dokumentumokat
2
5
A védelem és a szabályok
követik a dokumentumot
vagy e-mailt
Policy
Hozzáféréskor kerül
ellenőrzésre a
jogosultság
3
6
A védelem és a
szabályok követik a
dokumentumot vagy emailt
Policy
Az archívumban is
fennál ugyanaz a
védelem és marad a
szabályozás
•
•
•
•
A dokumentum teljes életciklusán át szabályozhatóak annak jogosultságai
Felhasználók vagy csoportok alapján szabályozható, hogy ki és mit tehet egy dokumentummal
Minden csatornán garantáltan biztonságos kommunikáción mehet csak keresztül a dokumentum
A védett dokumentum használata a felhasználók számára a lehető leginkább transzparens
A fájl létrehozásakor jön létre a
titkosításhoz az Active
Directory Rights Management
Services (AD RMS) szerver
publikus kulcsának
segítségével
Az AD RMS szerver privát
kulcsával aláírva
Content Key
Publishing
License
Felhasználási jogok
[email protected]: Read, Print
[email protected]: Read
A Content Key-jel titkosított
tartalom
A fájl tartalma
(szöveg, képek, stb...)
AD RMS Server
AD RMS Client
Felhasználó
4
2
3
1
c
FCI
besorolás
AD RMS védelem
c
A felhasználó létrehozza a
“ajánlat.docx”
dokumentumot egy
Windows server 2008 R2
fájlszerveren
A File Classification
Infrastructure (FCI) szenzitív
kategóriába sorolja be a
dokumentumot
(kulcsszó/RegEx alapján,
vagy elérési útvonal alapján)
- pl.: „Bizalmas információ”
A belső alkalmazottak tudják
használni az “ajánlat.docx”-et
5
Egy automatizált felügyeleti
folyamat az AD RMS Bulk
Protection Tool segítségével
RMS-sel levédi a
dokumentumot, hogy csak a
cég saját alkalmazottai
érhessék el annak tartalmát
A teljes folyamatot akár utólag, az összes meglévő
dokumentumra is érvényre juttathatjuk!
Ha a dokumentum bármilyen
úton kiszivárog, illetéktelen
felhasználó nem tudja azt
megnyitni
Biztonságos levelezés
Biztonságos csoportmunka
Biztonságos végpont
Adatvédelem
Azonosság- és hozzáférés-kezelés
Active Directory Federation Services
®
Ügyfélelégedettség
Árverseny
Személyre szabás
Partnerek
Ügyfelek
Együtműködés, csoportmunka
Kiszervezés
Folyamat-automatizálás
Szállítói lánc
Az alkalmazottak a
vállalati hálózaton
Távoli és mobil alkalmazottak
Összeolvadások és felvásárlások
Mobil munkatársak
Ideiglenes munkatársak
Beszállítók és harmadik féltől
származó adatbázisok
Vállalat
Web
Service
Internet
Alkalmazások
összekötése
Partner
Web
Service
Web
Service
Webszerver
Web
Service
Táv- és csoportmunka
- Office
- Live Meeting
- Communicator
Web
Service
Vastagkliens
Mobil eszközök
Web
Service
Böngészők
• Az azonosságok megosztása partnerhálózatokkal és a felhő-szolgáltatásokkal
− Akár RMS-t is meg lehet osztani vállalatok között, vagy a felhő felé
− A Microsoft SharePoint Server is kihasználja az ADFS architektúrát
Trey Research
Account Forest
Woodgrove Bank
Resource Forest
Federation
Trust
AD DS
AD FS
AD FS
AD DS
AD RMS
Exchange 2010
Application
Post claims
Access
Business Partners
User Account/Credentials
Redirect to Security Token
Service (STS)
Security Token
SharePoint Server
Farm
• Egyszeri bejelentkezés egy felhasználóval egyszerre több hálózatba, alkalmazásba, szolgáltatásba, akár a
•
•
felhőbe is
A központosított jogosultságkezelés lehetősége, függetlenítve az egyes alkalmazásoktól
Nyílt, iparági szabványokra építve
Security Token
(pl. Kerberos Ticket)
Vállalati felhasználó
Exchange
SharePoint
Webalkalmazás
AD DS
AD FS
•
•
•
•
AD FS elkészíti a SAML token-t
Bejelentkezik a vállalat privát kulcsával
Visszaküldi ezt a felhasználónak
Ezzel együtt megkapja a hozzáférést is
Partner
Claim-alapú
alkalmazás
FELHŐ
SZOLGÁLTATÁSOK