Microsoft utilizza ISA Server per migliorare la protezione della sua infrastruttura informatica

Data di pubblicazione: 2005

Le esigenzeTop

Leader del settore IT a livello mondiale, da sempre Microsoft Corporation ha l'obiettivo di consentire a tutti di esprimersi al meglio con software sempre migliori, in qualsiasi momento, da ogni posizione e da qualunque dispositivo. I dipendenti Microsoft sono tra i primi a utilizzare i più recenti prodotti software dell'azienda, come Internet Explorer 6.0 per l'esplorazione del Web e il client di messaggistica e collaborazione Microsoft Office Outlook 2003 per accedere ai server Exchange Server 2003 utilizzati per la gestione della posta elettronica e del calendario. Il regolare svolgimento delle attività operative nelle filiali Microsoft di tutto il mondo dipende da oltre 11.000 server Windows, 7000 dei quali
si trovano presso i data center della sede centrale della società a Redmond.

Per ottimizzare la produttività dei propri dipendenti, Microsoft Corporation deve garantire loro la possibilità di connettersi a Internet e alla rete aziendale in modo protetto, cioè al sicuro da virus, fughe di informazioni e altri tipi di minacce provenienti dal Web. Inoltre, ogni dipendente deve essere sempre in grado di connettersi, non solo quando si trova in ufficio, ma anche mentre è in viaggio o lavora da casa. All'interno della divisione Microsoft IT, il gruppo Connectivity Services ha il compito di realizzare e gestire un'infrastruttura in grado di soddisfare questi requisiti.

Prima del 2004, la connettività degli utenti aziendali veniva garantita dall'utilizzo integrato di diversi prodotti Microsoft Windows Server System. L'accesso VPN (Virtual Private Network), che mette a disposizione degli utenti remoti connessioni crittografate per collegarsi alle risorse IT dell'azienda attraverso reti non protette, come Internet, era basato invece sulle tecnologie VPN fornite dal sistema operativo Microsoft Windows Server 2003. Le tecnologie utilizzate per consentire agli utenti di accedere via Web alla rete aziendale, come SecureNAT (Secure Network Address Translation), i servizi proxy Web e Windows Sockets (Winsock), erano basate su Microsoft Internet Security and Acceleration (ISA) Server 2000. ISA Server 2000 era utilizzato anche per la pubblicazione dei server Outlook Web Access (OWA), in modo da permettere agli utenti remoti di accedere alla posta elettronica sul Web, senza tuttavia esporre direttamente a Internet i server Microsoft Exchange Server.

La soluzioneTop

Microsoft sta aggiornando a Microsoft ISA Server 2004 tutti i server che svolgono quattro ruoli: proxy Web e Winsock, SecureNAT, pubblicazione di server Web e VPN. Grazie ai numerosi miglioramenti e alle nuove funzionalità di firewall a livello di applicazione, VPN e caching Web, questa avanzata soluzione garantisce la massima protezione e prestazioni superiori. Microsoft ha adottato ISA Server 2004 per sfruttare tutti i vantaggi offerti da questo prodotto in termini di sicurezza, funzionalità, prestazioni e semplicità d'uso, continuando ad assicurare al proprio personale un accesso rapido e flessibile alle risorse aziendali.

“Oltre ad aiutarci a migliorare protezione e prestazioni, Internet Security and Acceleration Server 2004 renderà la nostra infrastruttura per la connettività più semplice da gestire”, dichiara Michael Ward, Senior Systems Engineer, responsabile del deployment di ISA Server all'interno di Microsoft. “Stiamo implementando ISA Server 2004 in tutti gli scenari in cui finora veniva utilizzato ISA Server 2000 e lo stiamo usando anche per rendere più sicure le connessioni VPN”.

Accesso a Internet per i desktop Windows
Microsoft offre ai propri utenti accesso a Internet tramite le funzionalità integrate firewall, proxy Web e Winsock di ISA Server. Microsoft dispone di 21 array ISA Server 2000 in tutto il mondo, il più grande dei quali si trova presso la sede centrale della società, dove supporta circa 130.000 client (indirizzi IP univoci). Ogni array è composto da 11 server Compaq DL380 a due processori che eseguono Windows Server 2003 Enterprise Edition e ogni server è configurato con 4 gigabyte (GB) di RAM, una cache su disco da 46 GB e 20 GB di spazio per l'archiviazione dei file log. Ciascun array gestisce in media 75.000 sessioni simultanee.

In questo scenario ISA Server svolge due funzioni principali:
Esplorazione del Web più veloce.

Le funzionalità di cache Web e Winsock di ISA Server riducono i tempi di caricamento delle pagine e limitano l'uso della larghezza di banda, grazie al caching RAM dei contenuti più richiesti e alla l'archiviazione su disco ottimizzata. Nel corso di una settimana lavorativa di cinque giorni il sistema gestisce 732 milioni di richieste di pagine Web. Di questo traffico, 6 terabyte provengono da Internet, mentre 703 GB vengono recuperati dalla cache ISA Server.

Protezione.
Le funzionalità firewall di ISA Server rendono l'accesso al Web più sicuro accettando solo le risposte che corrispondono a richieste di contenuti Web generate all'interno dell'organizzazione. In questo modo per i sistemi su Internet non è possibile avviare connessioni. ISA Server è stato inoltre configurato per bloccare 68 protocolli che potrebbero rappresentare un rischio per la protezione o che sono stati identificati come non necessari, ad esempio TFTP (Trivial File Transfer Protocol) e UDP (User Datagram Protocol) 1434. ISA Server è anche stato configurato per bloccare l'accesso a oltre 700 siti Web.

Accesso a Internet per altri desktop.
L'accesso al Web da parte dei sistemi che non sono in grado di eseguire il client proxy Web, come i desktop Macintosh e UNIX, viene garantito dalle funzionalità di caching e SecureNAT di ISA Server. Presso il campus Microsoft nella Silicon Valley, un server che esegue Windows Server 2003 e ISA Server 2004 offre questa possibilità ai circa 1500 desktop delle divisioni Microsoft Hotmail® e WebTV® Service.Questo scenario è analogo a quello del proxy Web e Winsock descritto in precedenza, con la sola eccezione che non è richiesto alcun client proxy e che il ruolo di ISA Server è completamente trasparente ai sistemi desktop. Ogni scambio tra la rete interna del campus e Internet viene esaminato da ISA Server, che accetta o rifiuta le richieste a seconda dei protocolli utilizzati. Per ogni richiesta in uscita accettata, ISA Server protegge il sistema interno che l'ha generata sostituendone l'indirizzo IP interno e il numero della porta TCP (Transmission Control Protocol) o UDP con le informazioni relative al proprio indirizzo IP esterno e alla propria porta di origine e solo in seguito provvede a inoltrare la richiesta. Analogamente, dopo aver verificato che le risposte in entrata corrispondano a precedenti richieste in uscita, prima di inoltrarle ISA Server provvede ad associarvi nuovamente gli indirizzi IP dei sistemi da cui sono state generate le richieste iniziali.

Come nel caso dello scenario proxy Web, ISA Server memorizza nella cache i contenuti più richiesti, in modo da ridurre l'uso della larghezza di banda e accelerare i tempi di caricamento delle pagine. In una settimana lavorativa di cinque giorni, il sistema elabora circa 8 milioni di richieste, restituisce 27 GB di contenuti da Internet e 280 MB di contenuti dalla cache. Un singolo server a quattro processori, configurato con 2 GB di RAM e una cache da 9 GB per i contenuti, supporta una media di 260 sessioni simultanee.

“Come nel caso del proxy Web, in uno scenario SecureNAT ISA Server 2004 agevola la gestione dei criteri di accesso”, afferma Ward, “e può migliorare le prestazioni del 150% rispetto a ISA Server 2000”.

Accesso alla posta elettronica.
Microsoft sfrutta le funzionalità di pubblicazione dei server Web di ISA Server per garantire agli utenti remoti l'accesso alla posta elettronica, proteggendo allo stesso tempo i server dalle minacce provenienti da Internet. L'azienda dispone di cinque implementazioni ISA Server di questo tipo, tutte basate su array a due server, tranne una composta da un array a quattro server, utilizzata per la protezione dei server del campus principale. Ogni array protegge un cluster di server Web che supportano Outlook Web Access, Outlook Mobile Access (OMA) e RCP (Remote Procedure Call) su HTTP, tre metodi supportati da Microsoft Exchange Server 2003 per garantire agli utenti remoti l'accesso alla posta elettronica tramite protocolli Web standard.

ISA Server aiuta a proteggere i server evitando di esporli direttamente a Internet. Tutte le richieste vengono inviate all'array ISA Server, che ispeziona il traffico Web e stabilisce quali richieste trasmettere ai server Web, verificando che il nome host utilizzato sia corretto e limitando le richieste in ingresso ai sette percorsi necessari per consentire il funzionamento di OWA, OMA e RPC su HTTP. ISA Server filtra inoltre le chiamate ai metodi HTTP, limitandole a quelle necessarie. L'array a quattro server del campus principale supporta in media un carico di 4000 sessioni attive simultanee. In una settimana di sette giorni, filtra 46 milioni di richieste di pagine che generano 189 GB di traffico Web.

“Configurare la pubblicazione dei server Web con ISA Server 2000 non è stato difficile una volta chiarito come procedere, ma all'inizio c'è stata un po' di confusione”, afferma Ward. “Grazie alla nuova procedura guidata per la pubblicazione dei server Web, con ISA Server 2004 praticamente chiunque in pochi minuti può pubblicare un server Web basato su Outlook Web Access o su SharePoint® avendo la certezza di una configurazione corretta per una protezione avanzata”.

Accesso remoto alle risorse di rete.
Microsoft offre ai propri dipendenti che lavorano in modalità remota la possibilità di accedere alla rete aziendale tramite connessioni VPN. In tutto il mo

I beneficiTop

L'aggiornamento a ISA Server 2004 e il suo deployment nei server VPN assicurerà all'infrastruttura per la connettività di Microsoft livelli superiori di protezione, prestazioni e semplicità di utilizzo. I numerosi miglioramenti e le nuove funzionalità di ISA Server 2004 consentiranno di aumentare la protezione e ridurre i costi globali di gestione legati alla necessità di garantire ai dipendenti un accesso semplice e immediato alle applicazioni e ai dati aziendali.

Massima protezione
Tutti e quattro gli scenari in cui Microsoft sta implementando ISA Server 2004, ovvero proxy Web, SecureNAT, pubblicazione del server Web e VPN, otterranno dalle funzionalità firewall avanzate di ISA Server 2004 notevoli benefici in termini di miglioramento della protezione. Le funzionalità stateful inspection, per il controllo sia dei dati che delle intestazioni dei protocolli a livello di applicazioni, e una migliore integrazione con tecnologie Windows quali Microsoft Office SharePoint Portal Server, Exchange Server e Internet Information Services, aiuteranno Microsoft a garantire ai dipendenti una connettività più fluida proteggendo al tempo stesso le risorse IT dalle più recenti minacce per la sicurezza.

“La protezione risulta migliorata in modo particolare per lo scenario VPN grazie all'applicazione dei criteri di accesso firewall”, spiega Ward. “Gli ulteriori miglioramenti per la protezione e la gestibilità delle tecnologie VPN di Windows Server 2003 integrati in ISA Server 2004 rendono questa soluzione perfetta per tutte le organizzazioni che vogliono offrire al proprio personale la possibilità di connettersi in remoto alla rete aziendale”.

Maggiore gestibilità e semplicità d'uso
ISA Server 2004 fornisce nuove funzionalità di gestione che renderanno più semplice per la divisione Connectivity Services il compito di migliorare la protezione dei sistemi aziendali. Una di queste è un'avanzata interfaccia di amministrazione, che include riquadri attività e per la documentazione in linea, una procedura guidata introduttiva e un nuovo design per l'editor dei criteri firewall.

“L'interfaccia di gestione di ISA Server 2004 è stata decisamente migliorata e agevola notevolmente la visualizzazione e la gestione dei criteri di accesso”, afferma Ward.
“Poter disporre di tutte le informazioni in modo centralizzato riduce la possibilità di creare configurazioni non corrette che potrebbero rappresentare un rischio per la protezione”.

Prestazioni superiori
ISA Server 2004 assicura un netto aumento delle prestazioni in tutti gli scenari grazie a una serie di ottimizzazioni che migliorano le modalità di applicazione e gestione della protezione e dei criteri di controllo dell'accesso. Il modulo di caching di ISA Server 2004 consente di velocizzare il caricamento delle pagine negli scenari proxy Web e SecureNAT. I miglioramenti più evidenti in termini di prestazioni riguardano tuttavia lo scenario SecureNAT,
dove ISA Server 2004 garantisce un incremento del 150% rispetto a ISA Server 2000.


Case History in breve