Незаменимых нет: куда мигрировать с Forefront TMG?

Незаменимых нет: куда мигрировать с Forefront TMG?

В статье рассматривается проблема замены устаревшего защищенного шлюза Microsoft Forefront TMG, который разработчик прекратил развивать и поддерживать в апреле 2015, на современные российские и иностранные аналоги.

 

 

 

 

 

1. Введение

2. Forefront TMG — конец истории

3. Продумываем миграцию

4. Иностранные варианты замены

5. Российские варианты замены

6. Выводы

 

Введение

В сентябре 2012 года компания Microsoft решила уйти с высококонкурентного рынка межсетевых экранов, то есть свернуть разработку Forefront Threat Management Gateway 2010 (сокращенно Microsoft TMG) и сконцентрироваться на усилении защищенности своего основного продукта — операционной системы. В результате Microsoft объявила о прекращении дальнейшей разработки и продажи Forefront TMG, и у пользователей тут же возникла необходимость заменить снятый с производства продукт. В этой статье мы наметим возможные пути миграции.

 

Forefront TMG — конец истории

Итак, 12 сентября 2012 года компания обнародовала план по сворачиванию дальнейшего развития Forefront TMG, и уже с декабря того же года компания прекратила его продажу. Тем не менее продукт еще работал и поддерживался специалистами Microsoft, однако в апреле 2015 года основной цикл поддержки был завершен. Правда, до конца года еще будет поддерживаться Forefront TMG Web Protection Service (WPS), но уже в начале 2016-го и его пустят в свободное плавание. Впрочем, если продукт был куплен в составе устройства, то его будут поддерживать до апреля 2020, к этому времени продукт должен быть полностью выведен с рынка. До 2020 года также остается возможность приобрести Forefront TMG в составе устройства — их предлагают, например, компании SecureGUARD, Celestix, Winfrasoft, IronNetworks.

Правда, стоит ли пользоваться в 2016 году продуктом, который не развивался в течение пяти лет? Это будет, скорее, иллюзия защиты. Поэтому сейчас компаниям самое время задуматься о переходе на альтернативные продукты, благо их достаточно и у иностранных разработчиков, и у российских.

 

Продумываем миграцию

Чтобы понять, чем можно заменить Forefront TMG, сначала нужно разобраться, какие функции этот продукт выполнял. Сразу стоит отметить, что Forefront TMG предназначался в основном для небольших компаний, где решал целый спектр проблем информационной безопасности. В частности, среди них были следующие:

  • Удаленный доступ пользователей к корпоративной сети. Это функционал VPN-решений, с помощью которых удаленные сотрудники могут подключаться к корпоративной сети. Для небольших компаний лучше использовать SSL-VPN, который стандартизован и хорошо известен.
  • Защищенный доступ к корпоративным веб-приложениям. Здесь речь в первую очередь идет о защищенной электронной почте и безопасном корпоративном портале. Фактически это также покрывается функционалом работы с SSL, который как раз и защищает канал между браузером сотрудника и корпоративным шлюзом.
  • Защита коммуникаций с филиалами. В некоторых случаях Forefront TMG использовали для организации защищенного взаимодействия с филиалами, то есть решали классическую задачу VPN. В этом случае также обычно используется SSL-VPN, но можно применять IPSec и даже нестандартные технологии шифрования канала.
  • Контроль доступа из корпоративной сети в интернет. Все же основной задачей Forefront TMG была защита корпоративного периметра от атак извне, то есть выполнение классических функций межсетевого экрана.

Все эти задачи можно решить с помощью межсетевых экранов, совмещенных с VPN-решениями. Но сейчас таких узкоспециализированных решений практически нет — их вытеснили продукты класса UTM (Unified Threat Management). Они объединяют целый спектр технологий защиты — антиспам, URL-фильтр, шлюзовой антивирус и многое другое. Они обычно поставляются в едином устройстве или в виде образа виртуальной машины. Подробнее мы уже описывали рынок UTM-устройств в опубликованном ранее материале. Единственное отличие Forefront TMG от классических UTM — организация  защищенного доступа к корпоративному порталу с обратным кэшем и ускорением SSL-сессий. Однако сейчас для динамичных сайтов обратный кэш не актуален, а SSL-ускоритель входит в состав SSL-VPN.

Резюмируя, сделаем вывод, что грамотно выбрать альтернативу поможет наш предыдущий обзор UTM. Его можно дополнить прошлогодним «магическим» квадрантом Gartner по UTM.

 

Рисунок 1. «Магический» квадрант Gartner по UTM-решениям за август 2014 года

«Магический» квадрант Gartner по UTM-решениям за август 2014 года 

 

По сравнению с нашим предыдущим обзором по UTM, лидеры в нем практически не поменялись: это Fortinet, Check Point, Dell, Sophos, WatchGuard. Это компании, которые представляют полный спектр программно-аппаратных комплексов, в том числе и UTM-устройства для небольших компаний. Однако сам Forefront TMG из-за ограниченной функциональности не относится к UTM, поэтому его можно заменить и на менее дорогие решения, которые предлагают производители второго плана. Такие продукты качественные, но стоят при этом дешевле. В частности, к ним можно отнести продукты компаний Kerio или Stormshild. Существуют и вполне неплохие российские аналоги, которые производят компании Entensys, «А-Реал Консалтинг» и другие.

 

Иностранные варианты замены

Как уже было сказано, в основном на замену Forefront TMG претендуют лидеры квадранта Gartner по UTM. Они по большей части описаны в нашем предыдущем обзоре устройств UTM. Добавить стоит только то, что из лидеров для российских компаний, пожалуй, наиболее предпочтительна компания Check Point, поскольку она израильская и не подпадает под действие санкций. Поэтому в данном обзоре мы расскажем в основном о продуктах второго плана, которые могут быть неизвестны широкому кругу читателей.

 

Kerio Control

Компания Kerio изначально разрабатывала продукты в качестве аналогов некоторых сетевых решений Microsoft. Так появился почтовый шлюз KerioConnect, который был создан как конкурент Exchange, KerioControl — как аналог Forefront TMG, и KerioOperator — как аналог Lync. Хотя межсетевой экран KerioControl изначально разрабатывался для замены Forefront TMG, однако компания продолжает его развивать и поддерживать и по сей день.

 

Stormshield Network Security

Компания Stormshield была образована производителями средств защиты Arkoon и Netasq. Собственно, Netasq уже фигурировал в предыдущем обзоре по UTM, но в лидеры не попадал — всегда находился на границе между квадрантами визионеров и лидеров. Аналогично и Stormshield находится в квадранте визионеров за 2014 год. Это означает, что Stormshild Network Security имеет хорошие перспективы, но лидером пока не является. Тем не менее этот производитель также имеет несколько партнеров в России, которые обеспечат установку и техническое обслуживание средств защиты данного производителя, что и позволяет нам рекомендовать этот продукт как замену Forefront TMG.

 

Российские варианты замены

Forefront TMG является иностранным продуктом, поэтому даже если он и развивался бы далее, все равно попал бы под импортозамещение. Поэтому для некоторых компаний менять его на иностранный продукт также может оказаться рискованно. А потому стоит рассмотреть в том числе и российские варианты замены: они упоминались в обзоре по UTM, но подробно в нем не описывались. Сейчас есть возможность посмотреть российские продукты класса UTM более подробно.

 

UserGate UTM

Одним из старейших продуктов класса UTM на российском рынке является UserGate, разработанный российской компанией Entensys Corporation, которая развивает его с 2001 года. Мы публиковали подробный анализ UserGate Proxy & Firewall шестой версии. А сейчас компания уже выпустила специальную версию UserGate UTM, которая объединяет в себе межсетевой экран, систему обнаружения вторжений, защиту от вредоносных программ и вирусов, систему контент-фильтрации и некоторые другие функции. Таким образом, этот продукт по набору функционала определенно может заменить Forefront TMG.

 

Интернет Контроль Сервер

Еще один универсальный шлюз под названием Интернет Контроль Сервер (ИКС) разработала российская компания «А-Реал Консалтинг». Подробный обзор ИКС 2.3.4 можно найти на нашем сайте. Имеется специальная версия продукта сертифицированная ФСТЭК. Сейчас разработчик выпустил уже четвертую версию своего продукта — он может выполнять следующие функции: контроль и обеспечение безопасности пользования интернетом, фильтрацию контента, организацию учета трафика, разграничение прав доступа для пользователей. Есть в нем и работа с шифрованием трафика, и обнаружение нападений, и защита от утечек информации. Значит, этот продукт также может с успехом заменить устаревший Forefront TMG.

 

Traffic Inspector

Российская компания Smart-Soft также выпустила свою версию универсального интернет-шлюза по под названием Traffic Inspector, который обеспечивает и управление правами доступа пользователей к Сети, и шифрование внешних соединений, и обнаружение атак извне в корпоративную сеть. Продукт также сертифицирован ФСТЭК. К тому же это решение обладает широким функционалом для защиты корпоративных сетей, и в дальнейшем компания будет только расширять возможности своего продукта. Таким образом, к 2020-му году российский продукт явно должен превзойти по своим качествам застывший в 2012 году Forefront TMG.

 

Выводы

Пользователи Forefront TMG, хотя по-прежнему имеют возможность покупать продукт в составе устройств до 2020 года, могут уже сейчас продумать замену и постепенно перейти на новые решения, которые к тому же имеют более широкий функционал, продолжают развиваться и, скорее всего, будут более эффективно защищать корпоративные сети от внешних нападений.

Следует отметить, что в отличие от Forefront TMG киберпреступники не станут останавливаться на достигнутом и будут постоянно совершенствовать методы нападения. Популярная среди пользователей продукция Microsoft является для них лакомым кусочком, поэтому злоумышленники быстро выработают средства проникновения через защиту увядающего Forefront TMG. В итоге защитные свойства этого продукта постепенно снизятся до нуля — скорее всего, это произойдет еще до 2020-го года. А потому надолго откладывать переход не стоит — лучше запланировать его на самое ближайшее время, ведь возможностей замены более чем достаточно.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru