В современном мире мобильных и ИТ-cистем, ориентированных на потребителя, пользователи сталкиваются с рядом новых проблем. Доступность высокоскоростных сотовых и Wi-Fi сетей непрерывно растет, современный пользователь становится все более мобильным - ему необходим доступ к личной и корпоративной информации из любой точки мира, с помощью любого устройства.
Чтобы предоставить пользователям такую возможность и обеспечить при этом полный ИТ-контроль в соответствие нормам качества, ИТ-специалисту необходимо развернуть и настроить средства защиты информации и предоставления доступа к корпоративным ресурсам. Данные решения предоставляют инструменты управления удостоверениями пользователя в рамках всего центра обработки данных и облачных сред. При этом можно обеспечить защищенный удаленный доступ, определить ресурсы и уровни доступа пользователей к информации с учетом характеристик пользователя, а также параметров ресурсов, к которым он получает доступ, устройств, которые он использует.
Контролируемый доступ к корпоративной информации с любого пользовательского устройства
Пользователям нужен доступ к личным и корпоративным приложениям, данным и ресурсам с любого устройства. Кроме того, средства доступа к корпоративным приложениям должны быть максимально простыми. ИТ-специалисты стремятся предоставить пользователям такие возможности, но при этом они должны контролировать доступ к важной информации и обеспечивать соответствие нормативным политикам.
Windows Server 2012 обеспечивает постоянный удаленный доступ с доверенных устройств
Windows Server 2012 предоставляет гибкие возможности для удаленного доступа с учетом удостоверений пользователя. Пользователи смогут работать максимально продуктивно в любом месте и пользуясь любым устройством.
Новые и обновленные возможности в Windows Server 2012:
-
Подключение к рабочему месту
В Windows Server 2012 реализована новая концепция — «регистрация устройства». Пользователи могут зарегистрировать собственные устройства при помощи функции Workplace Join (Подключение к рабочему месту), а затем использовать технологию единого входа для доступа к корпоративным данным. В ходе регистрации на устройстве устанавливается сертификат, а в каталоге Active Directory создается новый объект для этого устройства. Этот объект связывает устройство с пользователем в ИТ-среде, и в дальнейшем используется двухфакторная проверка подлинности. После регистрации своего устройства пользователь получает доступ к корпоративным ресурсам, которые ранее были ему недоступны.
-
Прокси веб-приложения
Технология Web Application Proxy (Прокси веб-приложения) предоставляет администраторам возможность выборочно публиковать корпоративные ресурсы для защищенного условного доступа удаленных пользователей управляемых и неуправляемых устройств с учетом характеристик пользователя, устройства, местоположения и приложения. Прокси веб-приложения позволяют ИТ-специалистам использовать многофакторную проверку подлинности пользователей и устройств; это означает, что когда пользователь подключается, у него можно запросить не только его учетные данные, но и другие сведения, прежде чем предоставить ему доступ. Прокси веб-приложения — это фактически две службы:
- Стандартный обратный HTTP-прокси, который используется для публикации приложений в режиме сквозного канала, т. е. приложений NTLM и Basic.
- Специализированный обратный HTTP-прокси, который используется службой проверки подлинности для анализа сертификата пользователя или устройства, которому нужно предоставить защищенный доступ к ADFS внутри сети.
Оба сервера называются «обратными прокси», они предоставляют клиентам возможность опубликовать приложение и в дальнейшем применять к нему сквозную проверку подлинности или воспользоваться службами федерации Active Directory (ADFS) и в дальнейшем применять условный доступ с четкими требованиями к тому, как и откуда можно получить доступ к приложению. Приложения, которые можно публиковать таким образом: веб-приложения Claims & Kerberos, приложения с организацией доступа на базе форм Office (Office Forms Based Access) и приложения Restful OAuth и др.
-
Автоматизация VPN-подключений
В рамках традиционных сетей VPN инициатором подключения выступает пользователь, который запрашивает доступ к корпоративным ресурсам. Обычно пользователь создает VPN-подключение, вводит свои учетные данные, проходит двухфакторную проверку подлинности, и его устройство подключается к корпоративной среде. В Windows Server 2012 появилась функция для автоматического VPN-подключения, когда пользователь запускает приложение, которому требуется доступ к корпоративным ресурсам. Проверка подлинности пользователя по-прежнему может быть двухфакторной, но теперь не надо инициировать соединение перед запуском приложения — соединение устанавливается автоматически, когда оно требуется приложению.
-
Рабочие папки
Рабочие папки Work Folders позволяют пользователям синхронизировать файлы на корпоративном файловом сервере и своем устройстве, находясь в любой точке мира. ИТ-специалисты могут настроить файловый сервер таким образом, чтобы каждый пользователь мог размещать в рабочих папках данные для синхронизации со своими устройствами, при этом обеспечивается интеграция со службами управления правами Rights Management.
-
DirectAccess
Пользователь может использовать свою учетную запись для доступа к локальным и облачным ресурсам
Когда пользователи получают доступ к ресурсам, которые размещаются как локально, в корпоративной среде, так и в облаке, у ИТ-специалистов возникают определенные затруднения, связанные с предоставлением пользователям возможности использовать при этом общие учетные данные. Кроме того, на управление несколькими учетными записями и синхронизацию информации во всех средах затрачиваются ИТ-ресурсы.
Windows Server 2012 обеспечивает технологии беспрепятственного единого доступа для приложений и данных
Windows Server 2012 обеспечивает единое представление всей пользовательской информации, помогая организациям свести к минимуму риски безопасности и предотвратить проблемы, связанные с управлением большим количеством учетных данных. Некоторые из новых и обновленных возможностей в Windows Server 2012:
Обновленные возможности Windows Server Active Directory
В Windows Server 2012 разработчики внесли несколько усовершенствований в Active Directory :
- Обеспечение возможности масштабирования Active Directory с поддержкой виртуализации и быстрого развертывания путем клонирования контроллера домена. Функции виртуализации Active Directory в прошлом были очень сложными в использовании, и когда администраторы выполняли стандартные задачи управления платформой виртуализации, такие как создание моментальных снимков, часто возникали проблемы. Каталог Active Directory был доработан с целью обеспечения эффективной поддержки виртуализации.
- Управлять каталогом Active Directory можно с помощью Windows PowerShell. Усовершенствованный центр администрирования Active Directory (Active Directory Administrative Center, AD AC) предоставляет инструменты для централизованного управления. В AD AC все функции администрирования собраны в одном месте, что значительно упрощает текущее управление каталогом Active Directory и связанными с ним технологиями, например, динамическим контролем доступа.
Windows Server Active Directory и Active Directory Federation Services (AD FS) можно развернуть в облачной среде, чтобы свести к минимуму локальную инфраструктуру. Майкрософт позволяет развернуть контроллеры домена и AD FS в среде Windows Azure IaaS, связанной с локальными системами с помощью моста Azure Connect. Такой подход ускоряет и упрощает задачи подключения и проверки подлинности пользователей, устройств и приложений в облачных средах.
Разработчики могут интегрировать приложения с целью организации единого входа в локальных и облачных средах, что повышает производительность труда конечных пользователей и упрощает задачу управления удостоверениями пользователей в этих приложениях.
Обновления в Windows Azure Active Directory
Windows Azure Active Directory (WAAD) обеспечивает быстрое и беспрепятственное взаимодействие с Windows Active Directory и позволяет интегрировать каталог Active Directory организации с облаком Windows Azure. AD Windows Azure предоставляет возможности для управления удостоверениями в облачных средах. WAAD выступает в качестве центрального узла проверки подлинности для всех пользователей и устройств, которые находятся за пределами корпоративной среды, а также для облачных и гибридных приложений. WAAD может использоваться как надежный каталог для проверки подлинности, кроме того, проверить подлинность пользователей и устройств можно с использованием федеративного подключения к другим каталогам, например, локальным каталогам AD, каталогам партнеров или другим облачным хранилищам учетных данных.
-
Службы федерации Active Directory
В Windows Server 2012 были значительно усовершенствованы службы федерации Active Directory, например, развертывание и управление стали проще. Прокси веб-приложения позволяют организовать условный доступ с многофакторной проверкой подлинности для каждого приложения, при этом используются учетные данные пользователя, сведения о регистрации и расположении устройства в сети. Прокси веб-приложение подключается к службам ADFS, с его помощью можно без лишних усилий выполнить защищенную публикацию приложения. Кроме того, пользователи могут зарегистрировать свои устройства и получить доступ к корпоративным данным и приложениям, при этом обеспечивается возможность единого входа по результатам проверки подлинности устройства. За процесс регистрации отвечают прокси веб-приложения и службы ADFS. Организации также могут создавать федерации с партнерами и другими организациями для обеспечения беспрепятственного доступа к общим ресурсам, что позволяет администраторам выполнять проверку подлинности пользователей организаций, входящих в федерацию. Организации могут подключаться к приложениям, предоставляемым в соответствии с моделью SaaS, которые запущены на ресурсах Windows Azure, Office 365 и сторонних поставщиков служб, что обеспечивает возможность единого входа для пользователей.
- Клонирование контроллера домена
Защита корпоративных данных и обеспечение соответствия нормативным требованиям
Пользователи приносят свои устройства на работу и им нужно предоставить доступ к важной информации на этих устройствах. Большие объемы корпоративных данных хранятся только локально на пользовательских устройствах, т. е. резервные копии не создаются, и данные нельзя проанализировать с целью их классификации и обеспечения соответствия нормативным требованиям. Кроме того, существует вероятность раскрытия этой информации третьим лицам, если устройство будет потеряно, украдено или продано. ИТ-специалистам нужны инструменты, позволяющие классифицировать и защищать информацию с учетом ее содержания, а не только местоположения, а также обеспечивать соответствие нормативным требованиям.
Windows Server 2012 обеспечивает контроль доступа и аудит корпоративной информации на основе политик
Windows Server 2012 помогает организациям защищать корпоративную интеллектуальную собственность и упрощает задачу соблюдения нормативных требований. Некоторые из новых и обновленных возможностей в Windows Server 2012:
- Динамический контроль доступа
Динамический контроль доступа появился в Windows Server 2012, эта функция позволяет классифицировать данные и защищать важную информацию на файловых серверах с помощью RMS. Для управления доступом используется централизованная политика, также предусмотрен контроль доступа к определенной информации.
- Службы управления правами Active Directory
Службы управления правами Active Directory помогают ограничить доступ к документам Office и электронным письмам посредством определения прав пользователя на доступ к файлу. Настроив соответствующим образом права, пользователю можно разрешить открывать, изменять, печатать, отправлять другим пользователям или выполнять другие действия над файлами, что позволяет организациям защитить данные, когда они находятся за пределами корпоративной сети.
- Многофакторная проверка подлинности
Многофакторная проверка подлинности позволяет администраторам контролировать доступ к ресурсам компании с учетом трех основных элементов: удостоверение пользователя, удостоверение зарегистрированного устройства и сетевое расположение пользователя (в пределах или за пределами корпоративной сети).