Exchange und SharePoint

Werbung
TMG geht, ADC kommt
Wie Application Delivery Controllers (ADCs) die Absicherung von
Exchange und SharePoint in einer Welt ohne TMG übernehmen können
White Paper
Barracuda Networks • TMG geht, ADC kommt
Nachdem Microsoft TMG abgekündigt hat, suchen viele Unternehmen nach einer
Alternative, um ihre Exchange und SharePoint Server sicher zu veröffentlichen. In
vielen Fällen wird ein Application Delivery Controller (ADC) der passende Ersatz sein.
Das Paper beschreibt die Grundfunktionen von ADCs, wie sie die Bereitstellung von
Exchange und SharePoint unterstützen können und was bei der Auswahl eines ADCs
zu beachten ist.
RELEASE 1
Inhalt
TMG: Erfolgsstory mit unerwartetem Ende
3
Exchange und SharePoint: Unternehmen öffne dich 3
Was TMG ausmacht(e)
4
TMG ade – und jetzt? 4
Was ist ein ADC?
5
Sicherheitspuffer: Anwendungsbereitstellung für Microsoft Exchange 6
Schnelles Setup: Anwendungsbereitstellung für Microsoft SharePoint 8
ADC – die richtige Wahl treffen
10
Exchange und SharePoint vertrauensvoll nutzen – ein Fazit
10
Über Barracuda Load Balancer ADC
11
Seite 2 von 11
Barracuda Networks • TMG geht, ADC kommt
TMG: Erfolgsstory mit unerwartetem Ende
Diese Nachricht von Microsoft bedeutete für viele Anwender einen Schock: Es wird
keine neuen Versionen des Forefront Threat Management Gateway (TMG) von
Microsoft geben. Seit Dezember 2012 ist die Software nicht mehr verfügbar, der
Support endet am 14. April 2015.
Für viele Administratoren und Dienstleister war das weit verbreitete Produkt, früher
bekannt unter dem Namen ISA Server (Internet Security and Acceleration), ein
wichtiger Baustein ihrer IT-Sicherheitsarchitektur. Seit der Version ISA Server 2004
ermöglichte die Software Unternehmen, interne Server über das Internet zugänglich
zu machen. Als Application Firewall und Reverse Proxy wurde es die Standardlösung
zur Bereitstellung und Absicherung von Exchange und SharePoint.
Die Ankündigung von Microsoft TMG einzustellen, hat für seine User weitreichende
Konsquenzen: TMG wird ihren vorhandenen Exchange- und SharePoint-Umgebungen
keinen langfristigen Schutz mehr bieten. Viele Organisationen suchen daher nach
Alternativen, die eine fortlaufende Sicherheit und Leistung ihrer vorhandenen
Umgebungen gewährleisten.
Exchange und SharePoint:
Unternehmen öffne dich
Die wenigsten Unternehmen nutzen heute Exchange oder SharePoint ausschließlich
intern. Beide Lösungen sind darauf ausgerichtet, Unternehmen agiler, mobiler und
transparenter agieren zu lassen und dazu gehört der Zugriff von außerhalb des
Netzwerks. Aber der Wunsch, die Lösungen reif für den Fernzugriff über das Web,
über mobile Geräte und verschiedenste Endgeräte zu machen, erfordert einen
umfassenden Ansatz der Applikationssicherheit. Gerade kleinere Unternehmen fühlen
sich oft überfordert von den zahlreichen Protokollen, Verbindungsmechanismen,
Implementationen und Authentifizierungsmethoden. Daher kommt es nicht selten
vor, dass sie einfach Port 443 öffnen.
Damit tappen sie in eine Falle. Denn die Zeit, die sie sich vorab auf diese Weise sparen,
zahlen sie zehnfach zurück, wenn das Netzwerk attackiert wird und die Sicherheit
vertraulicher und personenbezogener Daten sowie die Verfügbarkeit ihrer ITInfrastruktur auf dem Spiel steht. Die Veröffentlichung von Exchange und SharePoint
macht Unternehmen produktiver. Aber wenn Daten die Unternehmensgrenzen
passieren, braucht es eine Kontrollinstanz, die prüft und sicherstellt, dass nur
Berechtigte Zugriff auf die Unternehmensressourcen bekommen und dass aus dem
Zugriff keine Gefährdung für sensible Daten und das Netzwerk entstehen.
Seite 3 von 11
Barracuda Networks • TMG geht, ADC kommt
Was TMG ausmacht(e)
Genau diese Funktionen hat Microsoft in der Vergangenheit mit Forefront TMG auf
eine Weise angeboten, die nicht nur relativ kostengünstig war, sondern vor allem leicht
zu verwalten. TMG ist sehr oft im Einsatz, um als Reverse Proxy unternehmenseigene
HTTP/S-basierte Services im Internet zu veröffentlichen. TMG wird nicht zuletzt
eingesetzt, um Exchange-Dienste (Outlook Web Access, RPC over http, ActiveSync,
Outlook Mobile Access) bei der Bereitstellung über das Internet abzusichern. Mit dem
Erfolg von SharePoint ist es auch zur Absicherung dieser Lösung zum Quasi-Standard
geworden. Dank Assistenten war TMG für beide Lösungen einfach zu konfigurieren.
Zu den Kernfunktionen gehören einerseits die Performance-Verbesserung der
Anwendungen und andererseits die Sicherheit. TMG übernimmt unter anderem
Authentifizierung, SSL Offloading und Load Balancing. Dadurch haben die
Applikations-Server mehr Performance für ihre Kernaufgaben. Die Sicherheitsfeatures
verhindern die Ausnutzung von Schwachstellen in den Microsoft-Lösungen und
analysieren den Datenverkehr auf Malware-Prüfung in der DMZ. Im Ergebnis können
Administratoren damit einen sicheren Remote-Zugriff auf Exchange und SharePoint
herstellen.
TMG verfügt auch über andere Features, wie zum Beispiel Forward Proxy, VPN
und Enterprise Firewall. Für jene Anwender, die TMG zur Veröffentlichung ihrer
Exchange und SharePoint-Server nutzen, spielen diese jedoch keine Rolle. Für sie ist
entscheidend, wie TMG bei der Verarbeitung der Mail-Dienste des Exchange Servers
und der Informationsdienste des SharePoint-Servers seine Stärken voll ausgespielt hat:
Anwender schätzen die Lösung für seinen zuverlässigen und unterbrechungsfreien
Zugriff auf die Dienste und Server im Unternehmensnetz.
TMG ade – und jetzt?
TMG verabschiedet sich: Unternehmen, die heute vor der Herausforderung stehen,
Exchange oder SharePoint Server zu publizieren, können TMG nicht mehr kaufen
und viele andere müssen es mittelfristig ersetzen. Müssen sie das wirklich? Einzelne
Microsoft-Vertreter deuteten an, Verbesserungen in Exchange machten die PreAuthentication zu einer Option, die man auch weglassen könnte. Doch auch wenn
Applikationen sicherer werden, erhöht eine vorgelagerte Sicherheitsschicht den
Schutz: Auch sicherere Autos benötigen immer noch geschulte Fahrer und nur
Berechtigte sollen sich hinters Lenkrad setzen dürfen. Genauso brauchen durch
Kameras gesicherte Fußballstadien nach wie vor Zutrittskontrollen.
Gerade in einer Zeit, in der Cloud Computing und Mobility die Grenzpunkte der
Unternehmens-IT zu verwischen drohen, ist eine vorgelagerte Lösung zum Schutz
der IT-Infrastruktur unverzichtbar. Zum Beispiel verhindert die Pre-Authentication auf
einem Reverse Proxy außerhalb des Exchange Servers, dass Denial of Service Attacken
einen Exchange-Server lahmlegen. Auch mögliche Schwachstellen in Exchange, die
heute noch niemandem bekannt sind, werden durch die externe Lösung abgesichert.
Zudem nimmt diese Verlagerung Last vom Exchange Server, denn Authentifizierung
kostet ihn Leistung.
Noch weniger ist vorstellbar, dass eine größere Exchange-Umgebung ohne Load
Balancing auskommt, oder der E-Mail-Datenverkehr nicht mehr auf Malware und
Spam geprüft wird. TMG sorgt für den sicheren Zugriff unterschiedlichster Endgeräte
und kontinuierliche Server Health Checks. Auch diese Funktionen sind für professionell
betriebene Umgebungen unerlässlich.
Seite 4 von 11
Barracuda Networks • TMG geht, ADC kommt
Im Wesentlichen gibt es drei Möglichkeiten, TMG mit anderen Produkten zu ersetzen:
1. Microsoft UAG: Man bleibt dem Hersteller treu und steigt auf Microsoft Unified
Access Gateway um. Es bietet ebenfalls Publishing Support für Exchange 2013
und SharePoint 2013.
2. Man verwendet eine vollwertige Next Generation Firewall oder UTM-Lösung als
Ersatz.
3. Man nutzt einen Application Delivery Controller (ADC).
Die ersten beiden Varianten haben den Vorteil, dass die Lösungen einen erheblich
größeren Funktionsumfang als TMG haben. Der Nachteil ist, dass sie entsprechend
teurer, komplexer und schwerer zu implementieren und zu verwalten sind. Sofern
die Lösungen bereits im Unternehmen vorhanden sind, lohnt es sich, zu prüfen, ob
sie die Aufgaben von TMG übernehmen können. Das Gleiche gilt für Anwender, die
TMG auch als VPN Gateway oder Enterprise Firewall genutzt haben. Wer dagegen
aus technischen oder organisatorischen Gründen eine leicht zu implementierenden
Lösung für das Publishing von Exchange und SharePoint sucht, landet bei der Suche
nach einem Ersatz fast zwangsläufig bei ADCs.
Was ist ein ADC?
Application Delivery Controllers sind eine Weiterentwicklung von Load Balancers
und werden in der Regel als physische oder virtuelle Appliance in der DMZ
implementiert. ADCs sorgen für eine höhere Verfügbarkeit und Leistung von
Anwendungen, erhöhen die Applikationssicherheit und geben dem Administrator
zusätzliche Kontrollmöglichkeiten. Load Balancing und Traffic Management gehören
immer noch zu den wichtigsten Features. Die effiziente Verteilung des Traffics auf
die verschiedenen Server findet heute jedoch nicht nur mittels der Daten auf der
Transportschicht (Layer 4), sondern auch mit Blick auf die Anwendungsschicht
(Layer 7) statt. Das heißt, der ADC kontrolliert zum Beispiel SMTP und http, um
sicherzustellen, dass die Lasten für die Dienste wirklich verteilt werden. Genauso
prüft er die Verfügbarkeit von Servern nicht mehr nur per Ping, sondern ermittelt, ob
die Applikationen wie erwartet laufen. Wenn ein Server oder eine Applikation ausfällt,
wird er aus dem Server Pool entfernt und der Datenverkehr über die übrigen Server
verteilt. Dies ist auch über weit entfernte Standorte hinweg möglich.
Eine Beschleunigung der Applikationen erreichen ADCs durch Caching und
Kompression, aber vor allem, indem sie die Applikationen von bestimmten Aufgaben
entlasten. Zu den wichtigsten Features für die Beschleunigung zählt das SSLOffloading. Damit terminiert der ADC die SSL-Verbindung selbst, statt sie an den
Applikations-Server weiter zu geben. Das gleiche gilt für die Authentifizierung.
ADCs machen also weit mehr als Load Balancing. Sie schirmen Schwachstellen ab,
übernehmen Prozesse für die Server ab und komprimieren und cachen Inhalte für
eine höhere Applikationsleistung sowie bessere Benutzererfahrung. Die neueste
Generation bietet zudem auch Sicherheitsfeatures wie Antivirus, Web Application
Firewalling, Application Layer Security und Data Loss Prevention. Damit können ADCs
alle Funktionen abdecken, die Server-Administratoren an TMG schätzen.
Seite 5 von 11
Barracuda Networks • TMG geht, ADC kommt
Sicherheitspuffer: Anwendungsbereitstellung
für Microsoft Exchange
Ein ADC bietet in der Funktion als Reverse Proxy eine entscheidende Sicherheitsebene
für das Exchange-Publishing. Er segmentiert den externen Zugriff von den internen
Ressourcen. Damit bildet er einen Sicherheitspuffer, der die Exchange Server vor
Application- und Netzwerkbedrohungen schützt.
Ein ADC für das Exchange-Publishing kann
• schnellen E-Mail-Zugriff ermöglichen, unabhängig
davon, welche Geräte die Anwender nutzen.
• die IT-Infrastruktur vor Attacken, Exploits und Schwachstellen schützen.
• sicherstellen, dass nur autorisierte (authentifizierte) User auf die
Unternehmensressourcen über Exchange und Outlook zugreifen können.
• die Integrität des Datenverkehrs sicherstellen, indem die Verbindungen
zwischen dem ADC, dem Server und dem Client verschlüsselt werden.
• vollen E-Mail Schutz bieten, u.a. durch Deep Content Inspection,
SSL-Verschlüsselung, Untersuchung auf ausführbare Programme,
Protokoll-Validierung und integrierten Antivirus.
• für Lastenausgleich innerhalb eines Rechenzentrums oder zwischen
verschiedenen Rechenzentrumsstandorten sorgen.
• alle Funktionen einer Web Application Firewall bieten und damit
vor den typischen OWASP Top Ten Gefahren schützen.
• Single-Sign-On für die Microsoft Anwendungen ermöglichen.
• als Reverse Proxy den Zugriff über das Internet
auf Unternehmensressourcen regeln.
• die Authentifizierung übernehmen.
• die IT-Administrationskosten senken.
Barracuda-Lösung für sicheres Messaging
1. Exchange Load Balancing
2. OWA WAF-Sicherheit
3. ActiveSync-Sicherheit
4. Anti-Malware
5. Reverse Proxy/ AAA Pre-Authentication
Exchange
Activesync
Internet
Outlook
Überall
CAS-Postfach
Server
Seite 6 von 11
Barracuda Networks • TMG geht, ADC kommt
ÜBERBLICK: FUNKTIONEN VON ADCS FÜR EXCHANGE SERVER
Sichere
Anwendungsbereitstellung
von Exchange-Servern
ADCs können Load Balancing, SessionManagement und Funktionstests für Server
bieten. Dies ermöglicht eine robuste
Skalierbarkeit und hohe Verfügbarkeit für
Exchange. Als Reverse-Proxy bieten sie zudem
eine zusätzliche Sicherheitsebene. Alle Anfragen
werden terminiert und untersucht, bevor sie
an die Backend-Server gesendet werden.
Sicherer Outlook Web
Access (OWA)
Manche ADCs besitzen vorbereitete, speziell
für OWA ausgelegte Templates. So können
Organisationen vielen Angriffen auf die
Exchange-Infrastruktur eine leistungsstarke
Plug-and-Play-Security entgegensetzen, darunter
SQL Injections (SQLi), Cross Site Scripting
(XSS), OWASP Top 10-Angriffen und DDoS.
Sicheres ActiveSync
Manche ADCs bieten sicheren ActiveSyncZugriff. Dies ermöglicht sicheres SessionManagement und Zugriffskontrolle auf der
Grundlage von Gerät und Browsertyp. Zusätzliche
Funktionen, wie DDoS- und Brute-ForceSchutz, garantieren die Verfügbarkeit auch bei
Angriffen, die auf hohen Datenraten basieren.
Pre-Authentication
Spezielle ADCs bieten die Möglichkeit,
Benutzer und Gerätemithilfe diverser
Authentifizierungsverfahren, wie Active Directory,
LDAP und RADIUS zu authentifizieren. So können
Administratoren den Authentifizierungsprozess
aus ihren Exchange-Infrastrukturen auslagern
und für ihre Microsoft-Anwendungen
Single Sign-On (SSO) anbieten.
SSL-Offloading
ADCs mit Hochleistungshardware entlasten
den Exchange Server, indem Sie den
durch SSL gesicherten Datenverkehr
verschlüsseln bzw. entschlüsseln.
Seite 7 von 11
Barracuda Networks • TMG geht, ADC kommt
Schnelles Setup: Anwendungsbereitstellung
für Microsoft SharePoint
Etwas anders stellen sich die Herausforderungen für ADCs bei der
Anwendungsbereitstellung von SharePoint dar. Hier wird die Verbindung in der
Regel von den Clients initialisiert. Die Server verarbeiten die hereinkommenden
Anfragen und antworten darauf. Aus der Entwicklungsperspektive stellt bei
SharePoint besonders die nicht standardgemäße Verwendung von HTTPRequest-Headern mit Steuerzeichen und Webbefehlen eine Herausforderung
für Application-Delivery-Plattformen dar. Dementsprechend war für eine sichere
Veröffentlichung von SharePoint in der Vergangenheit eine intensive Anpassung der
Veröffentlichungsregeln und -ausnahmen erforderlich.
Mit einem geeigneten Application Delivery Controller entfällt jedoch die
Notwendigkeit, unzählige Stunden mit dem Setup zu verbringen. Auf SharePoint
spezialisierte ADCs bieten von Hause aus diverse Funktionen für Load Balancing,
Beschleunigung und Absicherung von SharePoint. Auch bei der Nutzung mit
SharePoint zahlen sich viele zuvor bereits erwähnte Fähigkeiten von ADCs aus, so
zum Beispiel die Authentifizierung, der schneller Zugriff unabhängig vom Endgerät,
die Ver- und Entschlüsselung, die Deep Content Inspection, das Load Balancing oder
das Single-Sign-On.
Darüber hinaus kann ein ADC für weitere Verbesserungen sorgen durch:
• Web Application Firewalling: Umfassender Schutz vor Angriffen aus dem Internet.
• URL Rewrite: Unternehmen können veröffentlichte SharePointSeiten auf einfache Weise umbenennen - zum Beispiel so, dass sie
in eine Marketing-Aktion passen oder leichter zu merken sind.
• Data Loss Prevention: Administratoren können Datenformate bestimmen, die das
Unternehmen nicht verlassen dürfen, beispielsweise Kreditkarteninformationen.
Clients
External Network
Barracuda SharePoint Solution
1. URL Rewrite
2. AAA Preauth
3. Load Balancing
Internal Network
Domain Controllers
SharePoint Farm
SQL Server
Seite 8 von 11
Barracuda Networks • TMG geht, ADC kommt
ÜBERBLICK: FUNKTIONEN VON ADCS FÜR SHAREPOINT SERVER
Load Balancing
Für mittlere und große SharePoint-Umgebungen
schlägt Microsoft die Verwendung eines Load
Balancers vor, um die Web-Ebene redundant
bereitzustellen. Ein ADC bietet Load BalancingFunktionen für die effiziente Verteilung
von Client-Anfragen und die Erhaltung der
Client-Affinität über die SharePoint Web
Front End- (WFE-)Server hinweg. Darüber
hinaus verbessert die Serverüberwachung
die Verfügbarkeit, indem sichergestellt wird,
dass Server nicht nur erreichbar, sondern auch
wirklich in der Lage sind, Content auszuliefern.
URL Rewrite/
Manche ADCs besitzen vorbereitete, speziell
für OWA ausgelegte Templates. So können
Organisationen vielen Angriffen auf die
Exchange-Infrastruktur eine leistungsstarke Plugand-Play-Security entgegensetzen, darunter
SQL Injections (SQLi), Cross Site Scripting
(XSS), OWASP Top 10-Angriffen und DDoS.
SSL-Offloading
ADCs mit Hochleistungshardware können
SharePoint-WFE-Servern von CPU-intensiven
Transaktionen entlasten, indem sie den SSLDatenverkehr verschlüsseln bzw. entschlüsseln.
Web-Application-
Spezielle ADCs bieten die Möglichkeit,
Benutzer und Gerätemithilfe diverser
Authentifizierungsverfahren, wie Active Directory,
LDAP und RADIUS zu authentifizieren. So können
Administratoren den Authentifizierungsprozess
aus ihren Exchange-Infrastrukturen auslagern
und für ihre Microsoft-Anwendungen
Single Sign-On (SSO) anbieten.
Pre-Authentication
Geeignete ADCs bieten die Möglichkeit,
Benutzer oder Geräte mithilfe diverser
Authentifizierungsverfahren, wie Active Directory,
LDAP und RADIUS zu authentifizieren. So können
Administratoren den Authentifizierungsprozess
auslagern und für ihre Microsoft-Anwendungen
Single Sign-On (SSO) anbieten.
Seite 9 von 11
Barracuda Networks • TMG geht, ADC kommt
ADC – die richtige Wahl treffen
Wer eine Alternative oder einen Nachfolger zu TMG sucht, um Exchange- und
SharePoint-Server über das Internet zugänglich zu machen, zu beschleunigen und
abzusichern, ist mit einem ADC gut beraten. Doch welches der Angebote soll man
nutzen? Neben den genannten Punkten, können die folgenden Kriterien bei der
Entscheidung für einen ADC helfen:
• Vorgefertigte Application Templates für die schnelle
Implementierung von Exchange und SharePoint
• Skalierungsmöglichkeiten und Hochverfügbarkeits-Implementierungen
• Erfahrung des Herstellers mit Sicherheitstechnologien für Unternehmen
• Unterstützung möglichst vieler Authentifizierungsverfahren
• Übersichtliche Management-Konsole und Integrationsmöglichkeit
in andere Management-Oberflächen
• Schneller, kompetenter und unkomplizierter Support
• Zertifizierung durch Microsoft als Hardware-basierte Load
Balancing- und Application Delivery-Lösung
Exchange und SharePoint
vertrauensvoll nutzen – ein Fazit
Mit der Abkündigung von TMG stehen viele für Exchange und SharePoint Server
verantwortliche Administratoren vor der Herausforderung, eine Lösung zu finden,
die alle dafür relevanten Funktionen von TMG abdecken kann. Wer nach einer
kosteneffizienten Lösung sucht, die einfach zu implementieren und zu verwalten
ist, sollte sich Application Delivery Controllers anschauen. ADCs bieten vielen
Unternehmen einen robusten und einfach zu implementierenden Ersatz für TMG. So
können sie die Produktivitäts-Features von Exchange und SharePoint auch in Zukunft
mit Vertrauen nutzen.
Seite 10 von 11
Barracuda Networks • TMG geht, ADC kommt
Über Barracuda Load Balancer ADC
Barracuda bietet mit seinem Application Delivery Controller eine
Hochleistungsplattform speziell für Rechenzentren mit hohem Datenverkehr
an. Sie kombiniert Anwendungsbeschleunigung, Verfügbarkeit und erweiterte
Sicherheitseinstellungen mit robusten Server-Load-Balancing-Funktionalitäten.
Der Barracuda Load Balancer ADC schützt sowohl vor Angriffen auf das Netzwerk
als auch auf den Application-Layer, einschließlich der Top-10-Angriffe der OWASP
wie beispielsweise SQL Injection, Sabotage-Cookies oder Session-Hijacking, ohne
die Performance des Systems zu beeinflussen. Er wird weltweit in Tausenden von
Organisationen eingesetzt. Die bewährte und zuverlässige Lösung managt und
sichert täglich Milliarden von Anwendungstransaktionen. Sie ist als eine MultiportPlattform für Glasfaser- und Kupfer-Netzwerke und als virtuelle Appliance verfügbar.
Umfangreiche Zertifizierungen, Templates und Installationsanleitungen für weit
verbreitete Applikationen wie Microsoft Exchange, Microsoft SharePoint, Oracle
Anwendungen, Webserver und virtuelle Server sind enthalten. Barracuda Load
Balancer ADC ist von Microsoft als empfohlene Hardware Load Balancing- und
Application Delivery-Lösungen zertifiziert. Weitere Informationen sind erhältlich
unter http://www.barracuda.com/adc.
Weiterführende Informationen wie Barracuda Microsoft Exchange
und SharePoint-Investitionen schützt und beschleunigt, stehen
unter http://www.barracuda.com/tmg zur Verfügung.
About Barracuda Networks, Inc.
Barracuda Networks schützt bereits jetzt die Benutzer, Anwendungen und Daten in weltweit
mehr als 150.000 Organisationen und hat sich dabei einen hervorragenden Ruf als Anlaufstelle
für leistungsstarke, benutzerfreundliche und erschwingliche IT-Lösungen erarbeitet. Das bewährte
Geschäftsmodell des Unternehmens, in dessen Mittelpunkt stets der Kunde steht, konzentriert sich
auf die Bereitstellung hochwertiger IT-Lösungen auf Abonnementbasis in den Bereichen Sicherheit
und Datenschutz. Weitere Informationen finden Sie unter barracuda.com.
Barracuda Networks und das Barracuda Networks-Logo sind eingetragene Marken von Barracuda
Networks, Inc. in den USA. Alle anderen Namen sind Eigentum der jeweiligen Rechteinhaber.
Barracuda Networks AG
Radlkoferstr. 2
81373 München
Deutschland
t:
+49 (0)69 899 14 729
e:[email protected]
w: barracuda.com
Herunterladen
Explore flashcards