Построение комплексной системы защиты электронной почты в рабочем окружении организации
Система электронной почты – одно из самых уязвимых мест в IT-инфраструктуре предприятия. Именно через неё в локальную сеть компании могут проникать вирусы, способные нанести ущерб компьютерам пользователей и хранимой на них информации. Кроме того, неконтролируемые потоки спама могут значительно усложнить работу сотрудников, в чьи обязанности входит общение с внешними клиентами и партнерами. Для предотвращения подобных проблем предлагаем использовать комплексное решение от компании Microsoft, основанное на совместном использовании серверов Forefront Threat Management Gateway 2010 (TMG), Exchange Edge Transport 2010 и Microsoft Forefront Protection 2010 для сервера Exchange (FPE).
Forefront TMG 2010 – новая версия корпоративного брандмауэра Microsoft Internet Security and Acceleration (ISA) Server. Его можно использовать для решения следующих задач:
- проверка входящего HTTP/HTTPS-трафика на наличие вредоносного кода;
- организация отказоустойчивого подключения при наличии нескольких каналов передачи данных;
- обнаружение и предотвращение сетевых вторжений;
- защита системы электронной почты от вирусов и нежелательных сообщений на уровне сетевого периметра (требуемая в нашем случае функциональность).
Для обеспечения более высокого уровня защиты сервер Forefront TMG 2010 должен быть помещен в демилитаризованной зоне организации (DMZ). Под DMZ понимается участок, отделенный от внутренней сети предприятия. Обычно туда помещаются серверы, доступные из публичной сети Internet. Основным преимуществом демилитаризованной зоны является то, что при атаке на общедоступный сервер снижается риск компрометации внутренних серверов и рабочих станций.
Exchange Edge Transport 2010 – это роль пограничного транспортного сервера почтовой системы. Основной его задачей является транспортировка почты, а также фильтрация нежелательной почты и вирусов. Помимо этого, он может выполнять функции защиты от утечки данных (DLP).
Функции защиты от утечек данных реализованы с помощью транспортных правил, позволяющих проверять проходящую через пограничный сервер почту на наличие ключевых слов и прикрепленных к письмам документов, а также с помощью интеграции со службой управления правами Active Directory Rights Management Service (AD RMS), позволяющей ввести физический запрет на пересылку, редактирование или печать критичных для организации документов.
Фильтрация осуществляется посредством работы установленных на сервере агентов. По умолчанию фильтруется только нежелательная почта. Для организации антивирусной защиты требуется установка дополнительного программного обеспечения — Forefront Protection 2010 для сервера Exchange.
Данный сервер располагается в демилитаризованной зоне организации и не входит в домен Active Directory (AD). Однако, для работы ему необходима следующая информация из AD:
- почтовые домены организации;
- надежные отправители;
- список получателей;
- конфигурация соединителя для обеспечения сквозного прохождения потока почты.
Для хранения этих данных на пограничном почтовом сервере используется режим Active Directory Lightweight Directory Services (AD LDS). Синхронизация AD LDS с AD происходит через службу EdgeSync, расположенную на внутреннем почтовом сервере с ролью транспортного сервера-концентратора. Для безопасной передачи данных при репликации соблюдаются следующие условия:
- информация передается в одностороннем порядке от AD к AD LDS;
- данные по умолчанию шифруются;
- синхронизация происходит по расписанию.
В случае использования только одного из компонентов (например, пограничного почтового сервера), задача существенно упрощается. Однако, это отрицательно скажется на уровне защиты.
Метки:Exchange Server, Exchange Server 2007 / 2010, Forefront, Forefront Suite, Microsoft, Microsoft, Информационная безопасность, ПубликацииСвязанные записи
Exchange Server 2007 / 2010, Forefront Suite, Microsoft, Информационная безопасность, Публикации
