Appliance per VPN SSL della Serie SPXLa connettività remota è fondamentale per la produttività aziendale e le VPN SSL stanno divenendo sempre più popolari quali strumenti per l’accesso remoto. La sfida è quella di poter disporre di una soluzione d’accesso che curi sia la sicurezza che il rendimento, senza far prevalere un aspetto sull'altro. Le appliance per VPN SSL della Serie SPX, ricche di caratteristiche, offrono l’esperienza più veloce, personalizzata e mobile per l’utente, pur esercitando un controllo granulare sull’accesso. Inoltre, la Serie SPX si integra senza problemi con le architetture di rete esistenti, mette a disposizione potenti strumenti di gestione ed è l’unica VPN SSL in grado di adattarsi alle esigenze di lungo periodo delle aziende, minimizzando il costo totale di possesso.
 

Sicurezza multi-layer end-to-end

Firewall per VPN SSL

I firewall che fanno da front end per le appliance VPN SSL non possono verificare i dati, in quanto non hanno capacità di decodifica; per contro, senza firewall a monte, le appliance per le VPN SSL sono esposte alle minacce di rete. Il firewall integrato per VPN SSL di Array affronta entrambe le problematiche, garantendo una vera sicurezza alla rete.

Sicurezza dei server Sicurezza di rete Network Address Translation (NAT)
  • Firewall per applicazioni interamente basato su proxy
  • Protezione dei server dagli attacchi di rete
  • Protezione TCP Syn-flood
  • Flash event protection
  • Protezione completa DDoS
  • Firewall per stateful packet inspection completa
  • Più di 1000 regole per ACL senza cali di rendimento
  • Traduzione statica
  • Traduzione in base alle porte

Sistema operativo dalla sicurezza rafforzata

I sistemi operativi commerciali svolgono un insieme di funzioni contraddittorie, offrendo il fianco agli attacchi. Per contro, la Serie SPX sfrutta ArrayOS, un sistema operativo proprietario dalla sicurezza rafforzata pensato per svolgere compiti specifici senza esporre le interfacce in maniera non necessaria.

Separazione della rete

Separazione Reverse Proxy - In qualità di gateway verso la rete aziendale, le appliance VPN SSL non possono consentire connessioni dirette tra utenti finali e risorse e applicazioni sicure. L’architettura full reverse proxy garantisce che tutte le connessioni agli utenti finali vengano interrotte presso il dispositivo SPX e che siano oggetti di filtraggio a livello di applicazione. Inoltre, i certificati SSL e le credenziali utente vengono registrati dal lato della "rete" interna, a differenza di quanto avviene per la DMZ esterna, aggiungendo un ulteriore layer alla sicurezza di rete.

Separazione virtuale dei portali - Al fine di garantire supporto a dipendenti, partner, clienti, business unit, siti demo, ecc., le comunità devono apparire indipendenti ed essere gestibili da gruppi di amministrazione indipendenti. Ogni appliance della Serie SPX supporta fino a 256 portali virtuali e, fatto ancor più importante, garantisce che gli utenti non possano accedere alla rete o al portale per svolgere operazioni diverse da quelle autorizzate per la comunità di cui fanno parte.

Filtraggio delle applicazioni

I dispositivi della Serie SPX di Array implementano policy di controllo degli accessi in base al contenuto del protocollo e assicurano un filtraggio granulare senza precedenti per proteggere dagli attacchi la VPN SSL e le applicazioni e i sistemi che essa difende.

  • Filtraggio attivo e passivo
  • Policy “permetti/nega”
  • Filtraggio Layer 7

Sicurezza lato client

Le VPN SSL, nel fornire accesso in ogni momento e da ogni luogo, comportano il rischio di accesso a reti “sicure” da parte di dispositivi non sicuri. A questo scopo, le appliance della Serie SPX supportano le infrastrutture lato client in cui viene operata una valutazione del rischio posto dal dispositivo e associano il risultato alle varie policy di accesso definite dagli amministratori.

Host checking Controllo dell’accesso
  • Verifica dello stato del sistema prima di concedere l’accesso
  • Regole predefinite per firewall, antivirus e service pack di sistema personalizzati
  • Regole personalizzate per altre applicazioni, registry check, patch
  • Utenti globali (remoti e interni)
  • Controllo consolidato dell’accesso
  • Elevata flessibilità della configurazione

La sicurezza dal lato client consente agli amministratori di eliminare le "tracce” lasciate durante le sessioni utente. I dispositivi della Serie SPX permettono agli amministratori di eliminare le voci locali registrate nelle cache del browser client; inoltre, al fine di impedire che informazioni confidenziali restino immagazzinate su dispositivi non sicuri, è disponibile una funzione di “cancellazione” che permette agli utenti di scaricare i contenuti richiesti, pur sapendo che saranno cancellati automaticamente al termine della sessione.

Pulizia della cache Virtual Desktop sicuro Policy adattive Sicurezza terminale
  • Windows 2000 e precedenti versioni
  • RedHat, Linux 9
  • Mac OSX
  • Registrazione delle informazioni in un contenitore codificato
  • Controllo delle risorse locali a possibilità di scaricare i dati della sessione in un drive locale
  • Supporta la flessibilità della configurazione e della gestione
  • Istanze virtuali
  • Gestione integrata delle policy
  • Desktop sicuro – protezione avanzata dei dati
  • Prevenzione delle intruzioni
  • Implementazione delle policy di sicurezza
  • Salvaguardia dei dati confidenziali

Torna su

Autenticazione, autorizzazione e auditing (AAA)

Autenticazione

Le organizzazioni normalmente creano interfacce di autenticazione, con le quali i dispositivi Array SPX si integrano senza configurazioni particolari. Per le interfacce non standard, come quelle dei sistemi e dei database di vecchia generazione, la Serie SPX offre una suite di personalizzazione che consente una rapida integrazione. Inoltre, viene supportata l’autenticazione che identifica i client e li associa con le sessioni utente in base a certificati univoci.

Autorizzazione

L’autorizzazione in base al ruolo rappresenta una parte importante della policy e delle norme per la sicurezza. I dispositivi della serie SPX di Array consentono agli amministratori di limitare l’accesso alle informazioni e applicazioni in base al ruolo svolto dall’utente nell’ambito dell’organizzazione. Le policy sono granulari e sufficientemente flessibili da soddisfare le esigenze più complesse, permettendo l’implementazione rapida e veloce di modifiche e aggiornamenti. Al fine di minimizzare la complessità dell’integrazione, i dispositivi della serie SPX permettono di registrare le policy localmente, così come su un server esterno, e consentono agli amministratori di confrontare le informazioni esterne proprio con le policy registrate localmente.

Auditing

Uno dei principali requisiti di ogni norma o policy relativa alla sicurezza è proprio una buona catena di audit. I dispositivi della Serie SPX generano informazioni di audit in formati che consentono di procedere all’analisi con semplicità sia ai fini della sicurezza che di monitoraggio dello stato.

Autenticazione Autorizzazione Auditing
  • LDAP, Radius, AD, LocalDB, RSA SecureID, personalizzato
  • Autenticazione in base al certificato
  • Supporta il rating del server di autenticazione (ricerca delle credenziali utente in diversi server)
  • Policy di gruppo e per utenti individuali
  • Policy “permetti/nega”
  • Certificati client SSL
  • RSA SecureID
  • Altri sistemi di autenticazione RADIUS
  • Audit trail completi in formato WELF WebTrends
  • Registrazione di tutte le attività utente: successo, fallimento, attacco

Torna su

Modalità di accesso e supporto alle applicazioni

Varie modalità di accesso consentiranno agli amministratori di rendere disponibili le applicazioni limitando al minimo l’esposizione della rete, riducendo così i rischi. Potendo utilizzare simultaneamente diverse modalità di accesso, la facilità di accesso e l’esposizione della rete possono essere opportunamente bilanciate per diverse applicazioni e diversi utenti.

VPN Layer 3 File Sharing Client/Server
  • Applicazioni di supporto e IP-based (TCP, UDP, NetBIOS…)
  • Permette l’instradamento del traffico IPSec attraverso la VPN SSL
  • Si possono definire diversi network pool per utente o per gruppo
  • Gli amministratori possono disabilitare lo “split tunneling”
  • Opera parallelamente ad altri tipi di risorse
  • Supporta Windows98, ME e LINUX
  • SMB (Windows); NFS (UNIX)
  • Esplorazione e cancellazione di directory
  • Upload, download e cancellazione di file
  • Accesso semplice
  • Mantenimento delle policy originali del server (diritti di accesso)
  • Supporta il single sign-on NTLM
  • Manager applicazioni (java)
  • Applicazioni per porta TCP statica
  • e-mail, PeopleSoft, Oracle, SAP, IBM, Citrix
  • Microsoft Windows terminal services
  • Telnet
  • Applicazioni per mainframe di vecchia generazione
  • Manager applicazioni (java)
  • ActiveX Windows
  • Qualsiasi applicazione TCP basata su windows
  • Porta statica e dinamica
  • Solo connessioni in ingresso
  • FTP
Mappatura delle risorse web Single Sign-On Accesso wireless Portale web
  • Supporta il rewrite delle URL identificate nei cookie HTML, JavaScript e HTTP
  • NTLM
  • Ottimizzazione dell’autenticazione dell’HTTP di base per il miglior rendimento
  • Supporta la flessibilità della configurazione e della gestione
  • Telefoni cellulari BREW, Java-based
  • PDA Win CE/Palm
  • Riscrittura istantanea delle pagine web
  • Integrazione facile
  • Riscrittura di HTML/JavaScript e trasparenza rispetto a Java e altro

Torna su

L’esperienza dell’utente finale

Rendimento e scalabilità della piattaforma

Un rendimento e una scalabilità inadeguati sono due delle cause di una latenza al di sotto degli standard, che può anche comportare l’acquisto di unità aggiuntive, nonostante quelle esistenti supportino già il giusto numero di utenti contemporanei. La Serie SPX di Array garantisce che tutti i parametri chiave (numero massimo di utenti contemporanei, transazioni SSL al secondo, sessioni SSL contemporanee e throughput) si integrino a vicenda nel quadro del rendimento generale. Grazie ad Array, l’esperienza dell’utente non varia, che si supportino centinaia o decine di migliaia di utenti.

 

 
SPX1800
SPX2800
SPX4800
SPX5800
SPX6800
Elaborazione SSL
HW
HW
HW
HW
HW
Compressione
SW
SW
SW
SW o HW
SW o HW
Porte
4 GE
4 GE
4 GE
4 GE
2GE - Fibra
4GE
2GE - Fibra
2 10G Fibra
Utenti (min)
10
10
25
50
100
Utenti contemporanei (max)
100
1200
6000
12.000
64.000
Throughput
100 Mbps
200 Mbps
400 Mbps
850 Mbps
850 Mbps
Portali virtuali (max)
5
50
256
256
2

 

Accelerazione delle applicazioni

Il multiplexing della connessione, la codifica SSL con accelerazione hardware e la compressione dinamica assicurano la disponibilità di file e applicazioni nella maniera più efficiente e con una velocità paragonabile a quella dei collegamenti via cavo. Grazie alla tecnologia SpeedStack™ di Array, l’elaborazione TCP/IP e il parsing HTTP vengono effettuati una sola volta e utilizzati per tutte le funzioni per conseguire livelli di rendimento altrimenti non raggiungibili dalle soluzioni che prevedono le VPN SSL tradizionali. Combinando una avanzata tecnologia di accelerazione con un rendimento e una scalabilità di prim’ordine nel panorama industriale, Array offre l’unica piattaforma per l’accesso remoto sicuro in grado di assicurare una mobilità che accresce la produttività e offre un’esperienza indistinguibile dal normale accesso alla LAN.

Accelerazione TCP Compressione loss-less Accelerazione SSL Tecnologia SpeedStack
  • Multiplexing delle connessioni
  • Buffering TCP
  • Persistenza della connessione al client
  • Numero ridotto di connessioni
  • Rende i server più efficienti
  • Basata su dispositivi hardware
  • Inline HTTP
  • Testo
  • HTML
  • XML
  • DOC
  • Javascript
  • Cascading Style Sheet
  • PDF
  • Accelerazione hardware ad alto rendimento
  • SSL interno per la sicurezza tra nodi terminali
  • HTTPS, NNTPS, SMTPS, POPS, IMAPS, LDAPS
  • Caratteristiche complete di gestione dei certificati
  • Elaborazione SSL e bulk encryption effettuate nel kernel
  • Fino a 10.000 transazioni SSL al secondo
  • Ritardo di elaborazione dei pacchetti ridotto
  • Tecnologia di clustering virtuale
  • Cluster N+1 scalabile secondo necessità

Interfaccia utente intuitiva e personalizzabile

Perché una soluzione di accesso sia efficace, l’interfaccia utente deve essere user friendly e personalizzabile in modo da adattarsi alle esigenze di diverse comunità. La Serie SPX non solo consente a queste comunità di disporre di schemi d’interfaccia unici, ma anche di procedure ed esigenze logiche specifiche, quali il synching dei file post autenticazione e l’integrazione con i database di autenticazione proprietari. Poiché le diverse opzioni per l’accesso multiplo possono potenzialmente confondere gli utenti finali, i dispositivi della Serie SPX rendono l’accesso quanto più intuitivo e trasparente possibile grazie a caratteristiche specifiche quali il single sign-on l’eliminazione della preinstallazione e del triggering manuale.

Alta disponibilità

L’alta disponibilità (o High Availability) rappresenta una di quelle parti dell’esperienza dell’utente che deve rimanere completamente nascosta; la miglior esperienza per l’utente è una di tipo costante, con un downtime minimo o nullo. L’High Availability è parte integrante di ogni appliance della Serie SPX di Array, sia nel design della piattaforma che nella funzionalità delle caratteristiche, e garantisce che le sessioni non siano soggette ad interruzioni e che le applicazioni siano disponibili là dove sono necessarie e al momento richiesto.

  • Scalabile a 32 unità
  • Attivo/Attivo
  • Attivo/Standby
  • Sincronizzazione della configurazione
  • Interoperabilità con il cluster BEA WebLogic
  • Verifica stato del server
  • Doppia alimentazione

Torna su

Gestione e amministrazione

Interfacce di gestione

I dispositivi della Serie SPX di Array sono semplici da installare e offrono una configurazione e una gestione intuitive sia attraverso una interfaccia utente web personalizzabile che attraverso una interfaccia familiare a linea di comando. Il monitoraggio dei dispositivi della Serie SPX è semplice, grazie agli strumenti di monitoraggio SNMP come HP OpenView; inoltre, grazie al supporto per l’XML-RPC, è possibile utilizzare un ampio ventaglio di applicazioni di terze parti per automatizzare i compiti gestionali.

  • Interfaccia a linea di commando ispirata al Cisco IOS
  • Porta console (232C)
  • Gestione SSH remota sicura della rete
  • Accesso WebUI sicuro
  • Supporto gestione remota XML-RPC
  • Management Information Base (MIB) SNMP V2c e privata
  • Syslog (UDP o TCP)
  • Supporto semplificato per il setup iniziale
  • Integrazione con Microsoft Operations Manager
  • Gestione account amministratore
  • Monitoraggio dell’interfaccia a linea di comando
  • Sistema di notifica/allarme con invio di messaggi (paging)
  • Supporto di configurazione multiplo
  • Supporto alla sincronizzazione delle configurazioni multiple
  • Supporto online per la risoluzione dei problemi
  • Supporto per i grafici di monitoraggio in tempo reale
  • Manuale per i messaggi di log
  • Integrazione con HP OpenView

Virtualizzazione

Grazie alla possibilità di creare fino a 256 comunità virtuali in una singola appliance e di definire le DMZ istantaneamente nel momento e nel punto in cui sono necessarie, la Serie SPX di Array limita al minimo le esigenze hardware, migliorando fortemente l’efficienza gestionale e di amministrazione. La possibilità di creare ambienti condivisi e dedicati, nei quali dati e sicurezza sono completamente separati per business unit, utenti occasionali del campus, partner, dipendenti e clienti diversi, permette di procedere all’installazione delle VPN SSL in molti modi diversi, al fine di soddisfare le esigenze di business e di accrescere sensibilmente il ritorno sugli investimenti.

Appliance della Serie SPX per le VPN SSL
Ingrandisci immagine

Costo totale di possesso

L’accesso via browser alla VPN SSL elimina la gravosa esigenza di installare i client software per ogni utente e la necessità di apportare modifiche alla applicazioni e/o ai server.

Grazie alla grandissima scalabilità della piattaforma di Array, il costo totale di possesso viene a ridursi fortemente; Array, con una sola piattaforma, memorizza ciò che gli altri non riescono a fare con 10 unità o più.

Inoltre, in virtù della capacità di virtualizzazione di Array, si possono supportare fino a 256 gruppi tra partner, clienti e dipendenti tramite una sola piattaforma, risparmiando i costi di ulteriori server e semplificando la gestione.

Piattaforme opportunamente dimensionate e opzioni flessibili garantiscono che il business sfrutti la giusta soluzione al giusto prezzo; l’acquisto di licenze aggiuntive al crescere del business consente al dispositivo della Serie SPX di adattarsi nel tempo, soddisfacendo gli obiettivi pianificati.

Torna su