Een applicatie veilig uitrollen naar het internet vereist een combinatie van technologieën en een traditionele netwerklaag firewall. Deze beveiligingslagen mogen losstaand geleverd worden of vanuit een centraal beheerpunt zoals TMG of andere oplossingen. Om een keuze hierin te maken, moeten beheerders een totaaloverzicht hebben, wanneer ze Microsoft-applicaties naar het internet brengen.
Application Delivery Controllers als antwoord op TMG
Application Delivery Controllers (ADC) stappen in het gat dat TMG achter laat. Ze vullen de leemte, maar bieden ook extra mogelijkheden. Een ADC kun je inzetten als reverse proxy met pre-authenticatie op het netwerk. Dit biedt naast een betere load-verdeling ook een sterke beveiligingslaag. Vergelijk het met een portier bij een nachtclub: een ADC isoleert interne bronnen tegen externe invloeden, waardoor alleen gebruikers met toegang het bedrijfs-LAN op mogen.
Een reverse proxy met pre-authenticatie biedt een centraal punt voor de beheerder om toegang te hebben tot meerdere applicaties. Zonder dit centraal managementpunt zou toegang voor elke toepassing apart geconfigureerd en beheerd moeten worden. Vaak worden deze toepassingen door verschillende mensen beheerd, wat meestal niet bevorderlijk is voor de beveiliging. Het is lastiger beveiligingsbeleid over meerdere mensen of groepen op te leggen. ADC's bieden een strategisch, centraal punt waar bedrijfstoepassingen veiliger en consistenter uitgerold kunnen worden.
Sommige remote access toepassingen maken het mogelijk het client-endpoint te identificeren als onderdeel van het authenticatieproces. Beheerders kunnen bepalen welke apparaten wel en geen toegang mogen hebben tot een bepaalde toepassing. Bovendien wordt gecontroleerd of de toegestane apparaten wel voldoen aan het beveiligingsbeleid qua status van antivirus, besturingssysteem en patches.
Remote access oplossingen bieden een veel veiliger authenticatie-mechanisme dan wat er standaard in de meeste applicaties is geïmplementeerd. Gezien het groeiende aantal apparaten waarop gebruikers toegang willen, is dit ook van groot belang. TMG bood multifactor authenticatie, met onder andere RSA SecurID, RADIUS OTP en clientcertificaten. Maar met een meer programmeerbare oplossing kun je deze authenticatie-types ondersteunen, plus koppelingen maken met een veelheid aan andere aanbieders en technologieën.
Beveiliging met ADC's
ADC's bieden verschillende beveiligingsfuncties, waaronder pre-authenticatie, vergaande autorisatie, single sign-on en endpoint-inspectie. Naast de ondersteuning van bekende authenticatie-middelen als Active Directory, LDAP, RADIUS OTP en RSA SecurID, kun je met een ADC ook dynamische authenticatie methodes mogelijk maken. Dit kan ook multifactor. Zo zijn Outlook Web Access, ActiveSync en Outlook Anywhere (RPC over HTTP) te gebruiken over dezelfde IP/poort terwijl je verschillende authenticatie-methodes gebruikt.
Autorisatie is nodig, omdat toegang niet altijd een 'ja of nee'-situatie is. Het maakt verschil vanaf welke locatie en met welk apparaat de gebruiker toegang wil krijgen. Een APM kan via een query in Active Directory nagaan aan welke kenmerken een gebruiker voldoet en op basis daarvan, gecombineerd met deep packet inspectie, een beslissing meenemen.
Oplossingen voor deelfunctionaliteit van TMG
TMG wordt bij de diverse gebruikers op verschillende manieren ingezet. Lang niet alle mogelijkheden worden daarbij benut, waardoor het ook zinvol is om naar losse modules van ADC te kijken als mogelijk alternatieve oplossing. Hierbij kan het volgende onderscheid worden gemaakt:
- LTM voor load balancing en reverse proxy
- AFM voor netwerk firewall
- ASM voor applicatie firewall
- APM voor authenticatie en autorisatie, endpoint inspectie, en koppelingen naar Radius, AD, LDAP etc.
- SWG voor forward proxy functionaliteit
Met endpoint-inspectie kun je afhankelijk van het soort apparaat bepalen of de gebruiker wel of geen toegang krijgt. Hiermee is tevens ervoor te zorgen dat enkel apparaten met up-to-date antivirus en OS-versies en de juiste patches toegang krijgen.
De webapplicatie-firewall: beveiligen van laag 7
Een netwerk-firewall werkt en beschermt op lagen 3 en 4. Een webapplicatie-firewall analyseert en beveiligt applicatieverkeer op laag 7. Hierdoor worden webservers beschermd tegen kwaadwillend verkeer, en voorkomen ze aanvallen als cross-site scripting, SQL injecties en cookie poisoning.
TMG werkte op signature-basis en volgens het negative filtering-principe. Applicatie-firewalls gebruiken zowel een positief als negatief beveiligingsmodel om bescherming te bieden tegen DDoS-aanvallen op laag 7, SQL-injecties en OWASP-aanvallen, en om de interactieve AJAX-applicaties en JSON payloads veiliger te maken. Applicatie-firewalls zijn bijvoorbeeld in staat om eerst interne applicaties als SharePoint en Exchange ActiveSync in 'learning mode' te analyseren om legitiem verkeer te identificeren. Nadat dit is afgerond kan verkeer dat niet voldoet aan de standaard kenmerken en patronen worden geïsoleerd of geblokkeerd. Dit positieve beveiligingsmodel biedt veel bescherming tegen onbekende of zero day-aanvallen.
De netwerk-firewall: beveiligen van laag 3 en 4
Bedrijven vertrouwen op hun netwerk-firewall om interne data te beschermen tegen kwalijke externe invloeden. Deze firewall werkt als packet-filter en gebruikt toegangsregels om toegang te verlenen. Bovendien kan deze 'stateful' zijn, wat betekent dat hij zich bewust is van de status van een bepaalde verbinding. Stateful firewalls zoals TMG en F5's BIG-IP vergroten de beveiliging door alleen verkeer toe te staan van gekende verbindingen.
Applicatielevering stroomlijnen
Een van de belangrijkste criteria in de keuze voor een reverse proxy oplossing is het effect ervan op de netwerkinfrastructuur. Schaalbaarheid, beschikbaarheid en algehele prestaties zijn belangrijke factoren om rekening mee te houden als je bedrijfskritische toepassingen als Microsoft Exchange, SharePoint en Lync draait.
Er is veel verschil in schaalbaarheid, beschikbaarheid en performance tussen softwarematige oplossingen als TMG en hardwarematige alternatieven als BIG-IP ADC's. TMG biedt beperkte schaalbaarheid en simpele load balancing, waardoor TMG-servers vaak in een array worden geïmplementeerd. Hierdoor vind load balancing plaats door middel van native network load balancing of worden de servers tussen een paar hardware load balancers gezet.
Hiermee speel je in op de behoefte voor meer schaalbaarheid, beschikbaarheid en performance, maar het is niet bepaald efficiënt. Door traffic management, toegangbeheer en applicatiebeveiliging te consolideren in één oplossing, stroomlijn je de netwerkinfrastructuur. Dit is nodig om applicaties naar het internet uit te rollen. Deze inrichting kan veel meer verkeer verdragen dan TMG, kan het verkeer beter sturen en zorgt voor meer veiligheid.
Alternatief voor TMG
In de zoektocht naar een alternatief voor TMG moeten beheerders en managers rekening houden met verschillende factoren om te bepalen wat de beste manier is om applicaties naar het internet te brengen. Application Delivery Controllers bieden een goed alternatief voor TMG met betere beveiliging, beschikbaarheid, performance en schaalbaarheid. Of het nu gaat om het realiseren van een veilige reverse proxy, een firewall voor laag 3-7, een high-performance load balancer of alledrie, ADC's bieden een compleet oplossing voor veilige applicatielevering.
Jack Niesen is Pre Sales Consultant bij F5 Networks.
Reageer
Preview