J3qx

information archive

Жизнь в мире без TMG. Так ли это страшно?

Posted by j3qx на Январь 11, 2014

Жизнь в мире без TMG. Так ли это страшно?

imageПожалуй все вы знаете, что Microsoft остановила продажи TMG, а поэтому для многих стоит вопрос: следует ли похоронить TMG и искать альтернативные решения для публикации  Exchange? Чтобы ответить на этот вопрос, давайте рассмотрим аналогию. Моя машина снята с производства и больше не продается. Но она работает, заводится, ездит, двери открываются и тому подобное.  Если вдруг машина перестанет меня устраивать, не будет возить или просто понадобится больше, я ее заменю на другу. Подставьте вместо слова машина слово TMG и вы получите ответ на первый вопрос.

 

Аналогия с машиной может показаться странной, но она действительно объясняет почему закрытие проекта TMG не повод для паники среди компаний, использующих Exchange.

 

Вот несколько фактов, которые подтверждают вышенаписанные мысли:

1. Сечас не требуется предварительная аутентификация при получения доступа к Exchange Online.

2. Сечас не требуется формы пре-аутентификации для любых сервисов, развернутых внутри компании.

3. Microsoft потратила и тратит много сил на написание безопасного кода и именно по этому стали возможны пункты 1 и 2.

4. Microsoft пришла к пониманию того, что добавление новых уровней безопасности кроме самой безопасности добавляет сложности поддержки и не всегда целесообразно.

5. Политики безопасности продуктов и системы мониторинга за последнее десятилетие значительно продвинулись.

 

Говоря другим языком, мы можем попрежнему ездить на автомобиле, но особой потребности в покупке нового нет. TMG  больше не нужна для защиты наших ресурсов.

Для того, чтобы доказать вам это, давайте вспомним времена Exchange и Windows 2000. Первая вещь, которую стоит признать, это то, что код в те времена был далеко не оптимальным и случаи с анонимным доступом случались. Для того, чтобы защититься использовался отдельный продукт ISA (Internet Security and Acceleration), который выполнял задачи файрвола, делал пре-аутентификацию пользователей и допускал к Exchange только тех, кто мог аутентифицироваться.

Хотя аутентифицировашись человек мог попробовать осущетсвить какую то деструктивную деятельность, ровно как и любой пользователь пришедший изнутри мимо ISA.  Зачем же тогда использовать ISA? Не для того ли, чтобы понять в случае проблем “кто подключался снаружи?”.

Вы реально верите в это? В то что большинство компаний заметив какие то проблемы полезут в логи и начнут разбираться в том, кто это сделал? Не будут. Это как страховой полис, Вы его купили, он у вас есть, но когда доходит до дела, то в последний моменти выясняется, что он не покрывает ваш случай. Простого страхования не достаточно, от того, что вы перед одни устройством поставите промежуточное, это не станет безопасным.

Приблизительно в тоже время (2000-е ) Microsoft советовала использовать ISA, но годы идут и меняется инфраструктура, системы становятся более защищенными. Данные должны быть защищены, но при этом система должна быть легкой для разработчиков, чтобы они могли встраивать свои приложения.

В тоже время еще очень много людей думает о безопасности на сетевом уровне. Давайте ответим на вопрос: Что сейчас делает файрвол? – Он просто разрешает\запрещает соденения используя комбинации IP\Порт\Протокол.

Если у вас есть балансировщик сетевой нагрузки и вы конфигурируете его для разрешения подключенияй на внешнем интерфейсе, используя 443 порт и игнорируя остальные и перекидывая трафик на Exhchange сервера, разве это не файрвол?

Ваш балансировщик является обычным пакетным файрволом. Такая комбинация балансировщика и файрвола с сервисом за ним достаточно безопасная конфигурация.

И вот в чем дело. Если одним интерфейсов вы выведите балансировщик в Internet, а вторым интерфейсом в локальную сеть, то получаете безопасную конфигурацию и добавление пре-аутентификации в ней не даст каких то серьезных преимуществ.

 

8311_TMGScale_thumb_464A96B8

 

Какие варианты существуют:

1. Просто используйте балансировщики. Как уже говорилось ранее, они поддерживают пакетную фильтрацию и могут разрешать\запрещать трафик. Просто установить оборудование не достаточно, забывать про регулярное обновление всего и вся забывать не стоит. Если очень нужно, то можно рассматривать системы IDS.

2. TMG/UAG  брандмауэр ‘уровня приложений’ старой школы продуктов. Microsoft прекратила продажу TMG, но, как я уже говорил, это не значит, вы не можете использовать его, если у вас уже есть, это не мешает вам дальше использовать его.

Некоторые производители предлагают балансировку нагрузки вместе с предварительной аутентификацией, используя LDAP либо доменное членство устройства с Kerberos.

У Microsoft так же есть  Application Request Routing (ARR), он не выполняет пре-аутентификацию, но позволяет поставить перед Exchange недоменную машину для завешения SSL сессии. Если ваши политики безопасности написаны в стиле 90-х, ARR это то, что вам нужно.

На последнем Teched в Новом Орлеане было представлен Windows Server 2012 R2 и его фича —  Web Application Proxy. Даннуя функция поддеживает пре-аутенфикацию для OWA, но при этом не работает  с Outlook Anywhere и ActiveSync.

 

Итоги:

1. Годы идут, индустрия меняется и продукты Microsoft по безопасности давно в лидерах.

2. Обновляться должно все и вся. Патчи выпускаемые вендорами закрывают уязвимости, большой поток патчей лишь говорит о том, что люди работают над безопасностью.

3. Говорить о большей безопасности аппаратных над софтовыми решениями не корректно, т.к любое решение безопасно настолько ,насколько безопасен его код. И форм фактор тут не причем.

4. Использовать подключения к ресурсам снаружи через VPN не панацея, С одной стороны это усложняет процесс получения доступа, с другой клиент получает шлюз по умолчанию и зачастую доступ к гораздо более широкому списку ресурсов.

 

Greg Taylor
Principal Program Manager Lead
Exchange Customer Adoption Team

Вольный перевод  оригинала.

© http://itband.ru/2013/08/tmg/

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: