IT-Sicherheit für Unternehmen

Server-, Client- und Netzwerksschutz mit Microsoft Forefront

Sicherer Internet-Zugang durch das IAG

Bei Microsofts Intelligent Application Gateway (IAG) handelt es sich im Kern um ein SSL-VPN-Gateway. Es ermöglicht und kontrolliert den Zugriff beliebiger Endgeräte auf die Applikationen oder Verzeichnisse im Firmennetz. Dazu werden Zugangsportale eingerichtet, an denen sich der Benutzer anmeldet. Je nach Ergebnis von Authentifizierung und Autorisierung wird ihm ein spezifischer Zugang zum Netz mit den Anwendungen zugewiesen.

Die Grundlage für den Zugriff liefert eine ausgefeilte Berechtigungslogik – eine Stärke des IAG. Zu den geprüften Zugangskriterien der Policy-basierenden Authentifizierung und Autorisierung zählen neben dem Benutzernamen unter anderem der Ort, an dem sich der Anwender zu dem jeweiligen Zeitpunkt aufhält, die Uhrzeit sowie der Sicherheitszustand des Geräts, das er verwendet. Aus all diesen Kriterien leitet das IAG die Rechte für den jeweiligen Benutzer oder sein Gerät ab.

Durch Endpoint-Policies wird ferner bestimmt, welche Bedingungen der Client erfüllen muss, damit er eine Applikation aufrufen kann. So kann beispielsweise ein mobiler Mitarbeiter, der sich mit einem als sicher erkannten Firmen-Notebook anmeldet, den vollen Zugriff auf die ihm zugewiesenen Ressourcen erhalten. Ist dieses Gerät jedoch mit Viren verseucht, so wird sein Nutzer vermutlich nur eingeschränkten Zugriff bekommen.

Noch weniger Rechte werden dem Benutzer eingeräumt, wenn er sich von einem öffentlichen PC im Internet-Cafe einwählt. Ferner lässt sich festlegen, dass ein prinzipiell berechtigter Benutzer auf fremden Geräten generell keinen Download vornehmen darf. Um die Sicherheit zu erhöhen, kann das Portal zudem die Nutzung von HTTPS erzwingen.

Um den Aufbau des Portals zu vereinfachen, hat Microsoft die wichtigsten Anwendungen – etwa Domino-, Notes- und Outlook-Zugriffe, Microsoft CRM, SAP, Peoplesoft, Websphere, Sametime, Sharepoint und Citrix sowie die Zugriffe auf Terminal Services, File-Shares und FTP-Dienste – bereits vorbereitet.

Das IAG ist nur als Appliance von Microsoft-Partnern verfügbar, die auch die Konfiguration und die Verknüpfung mit einer dedizierten Hardware vornehmen. Diese Dritthersteller erweitern die Basisfunktionen des IAG meist um bessere Verwaltungsfunktionen. Ein Modul dieser Appliance ist auch der ISA, der allerdings nicht eigenständig in Erscheinung tritt: Er schützt das Gateway vor Angriffen.