Мобильность сотрудников сегодня – это часть непрерывного бизнес-процесса любой компании.
В современных условиях ведения бизнеса доступ к корпоративным ресурсам не должен ограничиваться стенами офиса. Мобильным сотрудникам необходимо иметь возможность удаленной работы, независимо от времени, места или устройства доступа. При этом возможности таких коммуникаций для людей, работающих удаленно, оптимально приблизить к возможностям локальных сотрудников.
Где бы не находился сотрудник компании – дома, в отеле во время командировки, на площадке клиента или в дороге, ему в определенный момент может потребоваться взаимодействие с сотрудниками в офисе, корпоративными приложениями, файловыми хранилищами и т.д. Поэтому основной целью компании в данном контексте выступает обеспечение простого и безопасного мобильного доступа, как для пользователей, так и для самой компании.
Разнообразие устройств связи (а соответственно и ОС) удаленно работающих людей (лэптопы, PDA, смартфоны, интернет-киоски) не должно влиять на возможность удаленного пользователя получать простой и надежный доступ к требуемым сервисам компании.
Но особенно важным является вопрос обеспечения безопасности таких подключений. Поскольку большинство пользовательских устройств неуправляемы для администратора компании, в процессе предоставления доступа должны учитываться такие особенности как состояние безопасности на устройстве, тип устройства доступа, а также профиль пользователя (сотрудник, партнер, клиент).
Внедрение такого рода сервисов имеет неоспоримые преимущества для любой компании – это более эффективное использование времени сотрудниками, и как следствие – увеличение продуктивности их работы, более высокий уровень ответственности перед клиентами и повышенная гибкость для дистанционных работников.
Технология VPN (Virtual Private Network) предоставляет все необходимые инструменты для организации удаленного доступа, используя каналы всемирной паутины.
Активное развитие в организации VPN в свое время получили две технологии – IPSec VPN и SSL VPN.
В контексте предоставления услуги удаленного доступа для пользователей компании, которые активно перемещаются за ее пределами, IPSec не получил должного распространения.
Сложность настройки, необходимость наличия дополнительного ПО, зависимость от МСЭ и формирование прямого подключения на L3 из небезопасного интернета сыграло в пользу SSL. В данной технологии соединились воедино все особенности, которые оптимально подходят для решения такого рода задач.
В отличии от IPSec, работающего на L3 и ориентированного в основном на постоянные VPN-коммуникации, SSL был разработан для шифрования трафика только определенных приложений (L7).
Разработанный с использованием SSL протокол HTTPS, является, по сути, идеальным инструментом для быстрого и защищенного доступа пользователя в любой точке присутствия интернета. При этом достаточно наличия браузера на любом устройстве от мобильного телефона до настольного ПК. Простота, надежность и дешевизна SSL сделала его наиболее привлекательным для мобильных решений.
РЕШЕНИЕ
Компания "Space IT" предлагает передовые решения Juniper Secure Access для мобильного доступа. Построенные с использованием технологии SSL, данные устройства позволят компаниям любого размера успешно предоставлять сервис защищенного удаленного доступа для сотрудников, партнеров и клиентов. Устройства Juniper SA обладают мощным набором инструментов и широкими возможностями. Функционал данных устройств обеспечивает удаленные подключения к корпоративным приложениям, веб-ресурсам, сетевым устройствам, файловым хранилищам, терминальным сервисам, а также к виртуальной серверной инфраструктуре.
Простота внедрения Juniper Secure Access в корпоративную сеть не предусматривает изменения сетевой инфраструктуры и дополнительных настроек сетевого оборудования. Классический подход определяет установку устройства за корпоративным брандмауэром. Для работы устройства достаточно открытого HTTPS порта. Администратор компании избавлен от необходимости настраивать каждое пользовательское устройство, а удаленному пользователю достаточно воспользоваться браузером для получения доступа через Secure Access. Особенности SSL протокола дают возможность обеспечить гибкую безопасность и контроль доступа в отличии от IPSec, где все сводится к банальному вкл./выкл.
В Juniper SA предусмотрено несколько методов доступа:
1. Базовый бесклиентский доступ (Core Clientless Access) – доступ к веб-страницам и веб-приложениям (Outlook Web Access, SharePoint), файловым ресурсам (CIFS/NFS), удаленное управление сетевыми устройствами (Telnet/SSH), почтовый прокси. Данный метод позволяет воспользоваться доступом только из страницы веб-браузера.
2. Защищенный доступ к приложениям (Secure Application Manager) – доступ к приложениям типа “клиент-сервер” (Windows & Java based). Имеются специально подготовленные шаблоны доступа для распространенных корпоративных приложений (Citrix, Microsoft Outlook, и Lotus Notes). Туннелируется только трафик приложения, без возможности получить доступ к остальным внутренним ресурсам.
3. Сетевое подключение (Network Connect) – создание direct-подключения к сети компании. У клиента эмулируется L3-адаптер, а Secure Access производит NAT обращений клиента во внутреннюю сеть. Доступна интеграция с Windows Logon (GINA), технологией Single Sign-On, а также, предусмотрен режим Split-tunelling (интеллектуальная маршрутизация трафика пользователя в зашифрованный канал). Работает в режиме IPSec если доступно, если нет происходит автоматическое переключение на SSL.
Функционал безопасности включает:
1. Host Checker (проверка настроек безопасности клиентских устройств перед, во время и после предоставления доступа)
2. Cache Cleaner (удаление закэшированных файлов и установленных приложений по завершению сеанса работы)
3. Secure virtual workspace (безопасный рабочий стол для изоляции и шифрования всех передаваемых/принимаемых данных и контроля доступа к локальным устройствам и драйверам)
4. Фильтрация пакетов на уровне ядра и безопасная маршрутизация (фильтрация подозрительного трафика до обработки на уровне стека TCP/IP)
5. Coordinated Threat Control (интеграция с решением для предотвращения вторжений, которая позволяет блокировать опасный трафик, обнаруженный Juniper IDP)
6. Интеграция с triple–A (интеграция с AD, LDAP, RADIUS, Certificate, OTP)
7. Single Sign-On (поддержка технологии прозрачной аутентификации)
8. UAC Federation (интеграция с решением Juniper UAC для контроля и автоматизации назначения прав доступа)
9. Enhanced Endpoint Security (функция автоматической проверки на наличие шпионского и вредоносного ПО)
Устройство Juniper SA также может использоваться для создания защищенных веб-конференций, презентаций и предоставления удаленной помощи. Данные задачи выполняет функция Secure Meeting. Используя Secure Meeting, можно передавать функции демонстрации другим участникам, вести переговоры с помощью встроенного чата, получать/предоставлять возможность управления приложениями и рабочим пространством. Для данной функции не требуется дополнительных клиентских приложений.
СЕРИЯ УСТРОЙСТВ JUNIPER SECURE ACCESS
| Характеристики | SA-700 | SA-2500 | SA-4500 | SA-6500 | |
.jpg) |
.jpg) |
.jpg) |
.jpg) |
||
| Размер компании | Малый | Средний | Средний - крупный | Крупный/Сервис-провайдер | |
| Количество одновременных пользователей | Отдельное устройство | до 25 | до 100 | до 1000 | до 10 000 |
| Кластер | не поддерживается | 2 - 100 | 2 - 1 000 | 2 - 18 000 3 - 26 000 4 - 30 000 |
|
| Методы доступа | Clientless Core Web Access, Network Connect | Clientless Core Web Access, Secure Application Manager, Network Connect | Clientless Core Web Access, Secure Application Manager, Network Connect | Clientless Core Web Access, Secure Application Manager, Network Connect | |
| Дополнительные функции | отсутствуют | Secure Meeting*, Cluster Pairs, Lab License** | Secure Meeting*, Cluster Pairs, Lab License**, IVS License***, ICE License****, Cryptographic Processor | Secure Meeting*, Multi-Unit Clusters, SSL acceleration, Lab License**, IVS License***, ICE License****, 4 Port 1GE SFP Int. card 80G Hard Disk AC/DC Power Supply | |
| Интерфейсы | 2*RJ-45, 10/100 | 2*RJ-45, 10/100/1000 | 2*RJ-45, 10/100/1000 | 2*RJ-45, 10/100/1000 1*RJ-45, 10/100/1000 mgmt 4 SFP GigE ports |
|
* – поддержка функции создания конференций
** – дополнительная лабораторная лицензия (для тестирования всего функционала на протяжении 52 недель)
*** – дополнительная лицензия для создания виртуальных систем (до 240)
**** – дополнительная лицензия для временного превышения количества лицензированных пользователей в случае необходимости
Управление политиками доступа в данном решении реализовано на основе ролевого разделения групп пользователей по общему признаку (клиенты, партнеры, удаленные сотрудники, и т.д.). К каждой роли привязывается определенный набор разрешенных сервисов (Clientless, SAM, Secure Meeting, E-mail, Web, Telnet/SSH, Network Connect и т.д), на которые в последующем применяются политики определенные строго для данной роли. Распределение пользователей по ролям происходит на основе учетных данных, результатов проверки Host Cheker и других параметров (тип браузера, IP, сертификат…).
Устройства Secure Access могут использоваться не только для доступа к файлам и приложениям в сети компании, но и к виртуальной инфраструктуре Дата-центра. Решение от Juniper способно взаимодействовать с передовыми продуктами по виртуализации, включая VMware View Manager и Citrix XenDesktop. Такая интеграция позволяет администраторам централизованно определить политики доступа для пользователей, которые обращаются к виртуальной среде. Пользователь также снабжается VDI-клиентом.
При необходимости оптимизировать скорость передачи данных Juniper SA предоставляет клиенту софтовый WX-клиент для ускорения обмена данными. Данная возможность предусматривает наличие решения Juniper WX (оптимизатор тафика) внутри корпоративной сети.
Для отказоустойчивых внедрений SA-2500/4500 поддерживают режим кластеризации, а SA-6500 – мульти-кластер до 4х устройств с увеличением общего числа соединений. Информация о пользовательских подключениях, настройки и конфигурация синхронизируется по отдельно выделенному каналу. Для активных пользователей полный отказ любого из устройств кластера абсолютно не заметен, а переключение происходит в автоматическом режиме.
ПРЕИМУЩЕСТВА ИСПОЛЬЗОВАНИЯ JUNIPER SECURE ACCESS
1. Поддержка различных типов устройств и ОС (Windows, Mac, Linux, Mobile Devices)
2. Отказоустойчивость и постоянная доступность за счет объединения в кластер и применения ICE
3. Проверка состояния безопасности устройств доступа
4. Защищенные веб-конференции Secure Meeting
5. Интеграция с инфраструктурой безопасности (IDP, UAC, STRM)
6. Гранулярные политики доступа на основе ролей пользователей