Пресс-центр > Статьи и публикации > Что случилось с Microsoft Forefront TMG?
Статьи и публикации
Что случилось с Microsoft Forefront TMG?

Что случилось с Microsoft Forefront TMG?

Компания Microsoft приняла решение прекратить поддержку продукта Forefront Threat Management Gateway (TMG).Microsoft считает, что TMG больше не нужен для обеспечения безопасности новых версий Microsoft Exchange и Exchange Online, поскольку остальные средства защиты вполне покрывают требуемый функционал.
1  декабря 2013 года поддержка TMG была прекращена.

 

«Новые решения для электронной почты Exchange в настоящее время настолько безопасны, что стало менее необходимо авторизовать пользователей», - сообщает сотрудник компании Microsoft Грег Тейлор. Существенно повысилось качество написания кода и соответственно уменьшилось количество уязвимостей, поэтому маршрутизация трафика для выполнения предварительной аутентификации пользователей больше не является необходимостью.

 

Тейлор также объяснил, почему Microsoft решила прекратить продажи своего продукта Forefront Threat Management Gateway (TMG), который как раз и выполняет предварительную аутентификацию пользователей при использовании с Exchange. Как утверждает Тейлор, TMG больше не нужен для защиты сетей с Exchange, потому что он просто мешает работе и добавляет ненужную сложность, существенно не увеличивая уровень безопасности.

 

Тейлор считает, что TMG был необходим в те дни, когда Exchange работал на Windows 2000. Но внедрение таких программ как Microsoft's Trustworthy Computing и Secure Windows Initiative, а также использование подхода к разработке Secure Development Lifecycle (SDL) сделали обеспечение предварительной аутентификации в лучшем случае опциональным.

 

Кроме того, TMG является межсетевым экраном, повторяя таким образом функциональность балансировщиков нагрузки, часто используемых с Exchange. Таким образом, продукт усложняет процесс построения сетевой безопасности.

 

«Если Вы установите Ваш балансировщик нагрузки между Интернетом и Вашей локальной сетью и безопасный, хорошо управляемый сервер Windows Exchange за ним, то Ваша система будет более безопасной, чем Вы думаете», - пишет Тейлор. - «Добавление предварительной аутентификации и сложных сетевых конструкций перед этим балансировщиком дает Вам совсем мало, если вообще что-то дает».

 

Тейлор не объяснил, какие версии Exchange на каких версиях Windows Server не будут нуждаться в предварительной аутентификации. «Предварительная аутентификация не требуется для Exchange Online, и Microsoft не использует ее для своих собственных внедрений Exchange», - сообщил Тейлор.

 

 Альтернативные технологии Microsoft

 

Одной из альтернатив использования предварительной аутентификации для трафика Exchange является использование Application Request Routing (ARR) в Internet Information Services. ARR может обеспечить подход «обратный прокси», который поддерживает ссылки на машины, не принадлежащие домену.

 

Другой вариант заключается в использовании функции Windows Server 2012 R2 под названием «веб Web Application Proxy» (WAP). WAP является ролью удаленного доступа, которая может поддерживать аутентификацию при помощи браузеров и устройств и работает с Active Directory Federation Services.

 

Тейлор не говорил о продукте Forefront Unified Access Gateway (UAG), который объявлен Microsoft в качестве замены для TMG. Этот продукт обеспечивает единую точку защищенного доступа к корпоративным ресурсам и на данный момент дороже, чем TMG. Service Pack 3 для UAG 2010 добавил поддержку публикации Exchange 2013 и SharePoint 2013.

 

Возражения партнеров

 

Вендоры балансировщиков нагрузки и контроллеров доставки приложений (ADC), имеющие партнерские отношения с Microsoft, такие как Kemp Technologies и F5 Networks,  ознакомились с аргументами Тейлора. Однако их реакция на его слова была неоднозначной.

 

Баргав Шукла, директор отдела исследованиям и инноваций в Kemp Technologies, считает, что предварительная аутентификация по-прежнему необходима для защиты Exchange, чтобы избежать распределенных атак «отказ в обслуживании» (DDoS) и уменьшить рабочую нагрузку на сервер Exchange. Kemp выпустил специальное дополнение Edge Security Pack для продуктов своей линии LoadMaster, которое направлено на удовлетворение нужд заказчиков, на данный момент использующих TMG. Edge Security Pack добавляет функциональность предварительной авторизации и единого входа (Single Sign-On) для сетей Exchange.

 

Шукла признал, что у предварительной аутентификации есть свои минусы, например, ее использование добавляет сложности задачам устранения неполадок и управления. Однако многие клиенты готовы пойти на эти трудности ради увеличения безопасности. Для многих заказчиков на данный момент предварительная аутентификация – обязательный элемент сети Exchange.

 

Другие мнения

 

Многие клиенты Microsoft остались недовольны их решением прекратить поддержку TMG. «Попытка закрепиться на этом рынке не удалась, TMG продается плохо, и компания Microsoft просто закрыла проект и пошла спокойно дальше. Пусть это будет уроком для клиентов: нужно выбирать вендоров, для которых безопасность является основным направлением деятельности», - считает один из экспертов.

 

Представители компании Microsoft и сами предлагают клиентам переходить на продукты McAfee, Symantec, Sophos и пр. Как такое решение повлияет на репутацию Microsoft на рынке безопасности, покажет время.

 

Поиск альтернативы во многом зависит от целей и задач, которые выполнялись снятым с продаж решением, а также масштабом сети заказчика. Что касается отечественных реалий, то большинство клиентов в Украине исторически использовало TMG в качестве веб-прокси. В связи с этим, заменой TMG могут служить как недорогие специализованные продукты типа Kerio Control, так и решения по унифицированному управлению угрозами (UTM), такие как Fortinet FortiGate, Sophos UTM, Cyberoam UTM  и другие.

 

При подготовке статьи были использованы материалы http://redmondmag.com/articles/2013/07/17/exchange-preauthentication.aspx

 

Петр Малышев, инженер по защите информации