Компанія Microsoft прийняла рішення припинити підтримку продукту Forefront Threat Management Gateway (TMG) .Microsoft вважає, що TMG більше не потрібен для забезпечення безпеки нових версій Microsoft Exchange і Exchange Online, оскільки інші засоби захисту цілком покривають необхідний функціонал.
Тейлор також пояснив, чому Microsoft вирішила припинити продажі свого продукту Forefront Threat Management Gateway (TMG), який як раз і виконує попередню аутентифікацію користувачів при використанні з Exchange. Як стверджує Тейлор, TMG більше не потрібен для захисту мереж з Exchange, тому що він просто заважає роботі і додає непотрібну складність, істотно не збільшуючи рівень безпеки.
Крім того, TMG є фаєрволом, повторюючи таким чином функціональність балансувальник навантаження, часто використовуваних з Exchange. Таким чином, продукт ускладнює процес побудови мережевої безпеки.
«Якщо Ви встановите Ваш балансувальник навантаження між Інтернетом і Вашої локальною мережею і безпечний, добре керований сервер Windows Exchange за ним, то Ваша система буде безпечнішою, ніж Ви думаєте», - пише Тейлор. - «Додавання попередньої аутентифікації і складних мережевих конструкцій перед цим балансувальник дає Вам зовсім мало, якщо взагалі щось дає».
Тейлор не пояснив, які версії Exchange на яких версіях Windows Server не потребуватимуть попередньої аутентифікації. «Попередня аутентифікація не вимагається для Exchange Online, і Microsoft не використовує її для своїх власних впроваджень Exchange», - повідомив Тейлор.
Альтернативні технології Microsoft
Однією з альтернатив використання попередньої аутентифікації для трафіку Exchange є використання Application Request Routing (ARR) в Internet Information Services. ARR може забезпечити підхід «зворотний проксі», який підтримує посилання на машини, які не належать домену.
Вендори балансувальник навантаження і контролерів доставки додатків (ADC), що мають партнерські відносини з Microsoft, такі як Kemp Technologies і F5 Networks, ознайомилися з аргументами Тейлора. Однак їхня реакція на його слова була неоднозначною.
Шукла визнав, що у попередньої аутентифікації є свої мінуси, наприклад, її використання додає складності завдань усунення неполадок і управління. Однак багато клієнтів готові піти на ці труднощі заради збільшення безпеки. Для багатьох замовників на даний момент попередня аутентифікація - обов'язковий елемент мережі Exchange.
Багато клієнтів Microsoft залишилися незадоволені їх рішенням припинити підтримку TMG. «Спроба закріпитися на цьому ринку не вдалася, TMG продається погано, і компанія Microsoft просто закрила проект і пішла спокійно далі. Нехай це буде уроком для клієнтів: потрібно вибирати вендорів, для яких безпека є основним напрямком діяльності », - вважає один з експертів.
Представники компанії Microsoft і самі пропонують клієнтам переходити на продукти McAfee, Symantec, Sophos та ін. Як таке рішення вплине на репутацію Microsoft на ринку безпеки, покаже час.
Пошук альтернативи багато в чому залежить від цілей і завдань, які виконувалися знятим з продажу рішенням, а також масштабом мережі замовника. Що стосується вітчизняних реалій, то більшість клієнтів в Україні історично використовувало TMG в якості веб-проксі. У зв'язку з цим, заміною TMG можуть служити як недорогі спеціалізовані продукти типу Kerio Control, так і рішення по уніфікованому управління погрозами (UTM), такі як Fortinet FortiGate, Sophos UTM, Cyberoam UTM і інші.
Петро Малишев, інженер по захисту інформації