Nun ist es endlich offiziell, doch so richtig glauben kann man(n) / frau es noch nicht…

Microsoft gibt, meiner Meinung nach, die einzig richtig funktionierende Applikationsfirewall (Microsoft TMG) mit der Version 2010 auf und verzichtet zukünftig auf den Einfluss, wie Applikationen durch Firewalls “richtig” erkannt werden können und vor allem vor Schadcode bewahrt werden können.

Der eine oder andere wird die Nachricht bei all dem Hype um das neue Apfel Telefon überlesen haben, wir leider nicht. Leider durften wir diese Information auch erst nach der öffentlichen Bekanntgabe (ganz “feige” zu finden unter Server & Cloud Blog und nicht im ForeFront oder TMG Team Blog) berichten.

Ich bin selbst noch einer der “alten” MCP +I (plus I wie Internet) zertifizierten. das heisst, seit dem Proxy 2.0 habe ich die Entwicklung und vor allem die Implementationen mitgemacht. Das letzte Produkt als TMG 2010 ist mit einer der besten und einfachsten Applikationsfirewalls und mit so vielen Features, das man die Software wirklich gut kennen musste. Ich meine, welche Applikationsfirewall gibt es denn wirklich (und das bitte auch bezahlbar und vor allem per CPU Lizenz und nicht per User) welches die Regeln basierend auf AD Gruppen verstand, oder eine IDS gleich mitbrachte. Gerade die IDS Funktion hat mir in vielen Security Konzepten die Freigabe beim Kunden ermöglicht. Zum einen hat sie funktioniert (die Server wurden früher geschützt, bevor irgendein Admin endlich mal die Patche installiert hat) und vor allem waren die IDS sie einfach da (Windows Update)… und konnte selbstverständlich angepasst werden. Aber auch die anderen Funktionen waren genial. Zeigt mir doch einmal eine Pinguin Kiste, die ich in nicht mal einer Stunde mit all den speziellen Microsoft Sonderfällen konfigurieren kann und die per Anhieb statt nur “dumme” IP und Port Security macht, auch noch in die Datenströme geschaut hat, ob da wirklich eine SharePoint über SSL spricht oder sich nicht ein SharePoint Designer im Datenstrom versteckt. Oder inzwischen all die anderen bösen Tools, die sich in 443 verstecken.

Sorry, aber ich kenne keine andere Software…. Entweder man muss zig verschiedene Module mitlizenzieren oder eine gemischte Anzahl Hersteller einbinden, weil der eine das nicht kann und der andere jenes nicht kann. Von den Lizenzkosten mal ganz abgesehen. Es gibt ja sogar Hersteller, da weiss man manchmal gar nicht, welche Funktion überhaupt noch nach einem Update übrig geblieben ist….

Es ist ja nett, das der UAG uns erhalten bleibt. Dieser basiert auf dem TMG. Doch was ist mit der Lizenzierung? Derzeit ist der UAG nur per User CAL erhältlich. Und die ist im Enterprise Umfeld nicht gerade wenig. Es werden bestimmt einige diesen Umstieg nicht machen, auch wenn mit dem UAG die ADFS2 oder claimed based Authentication integriert ist.

Schade auch, das noch nicht bekannt ist, was mit den Kunden passiert, die den TMG nun mit einer SA (Software Assurance) gekauft haben. Mein Tipp wäre hier eine 1:1 Adaption auf UAG, das würde die Umsätze schlagartig bei TMG erhöhen.

Auch ist es nett zu lesen, das ein “Grundschutz” vor Malware nun in SharePoint und Exchange enthalten ist. Dies betrifft im ürbigen die Argumentation, warum auch die anderen ForeFront Produkte abgekündigt wurden. Das erklärt aber leider nicht, warum ich bei einer funktionierenden Security Infrastruktur nun die neuen 2013 (Wave 15) Produkte kaufen muss, um weiterhin den notwendigen Schutz zu behalten. Ja, Support geht noch bis 2015…. doch wie viele Kunden kaufen den extended Support ein?

Nein, ich denke, hier macht es sich ein Unternehmen zu einfach, wenn die Begründung wegen einer “Nicht Nennung” im Gartner Quadranten herhalten muss. das war schon 2010/2011 der Anfang der Spekulationen rund um die ForeFrint Produkte wie TMG und UAG. Leider sind nicht alle guten Produkte immer im Quadranten sichtbar, das ist manchmal auch nur eine Frage der richtigen Fragestellung. Immerhin brauchte ich nicht so viele Euros wie bei anderen Herstellern, um sehr gut vor dem bösen Internet oder dem bösen Intranet geschützt zu sein. Daher lagen die “niedrigen” Umsätze nicht am falschen Produkt, sondern an der sehr guten Skalierbarkeit und Performance, die ich mit wesentlich weniger Lizenzkäufen erreichen konnte.

Es wird aber wohl auch nicht mir nur so gehen, die lange an Securityfreigaben für Infrastrukturlösungen gekämpft haben, das nun die bisher “unbefristete” Freigabe schnell in befristete Freigaben umgewandelt werden, da mann nun in zwei Jahren lang erarbeitete Sicherheitskonzepte wieder neu gestalten muss. Und in grösseren Umgebungen sind das Monate, bis man die Hersteller verglichen hat, getestet hat und dann mit den ersten Integrationstests in den Umgebungen beginnen kann.
Schade eigentlich, denn im Grunde wollte ich mit Windows 2012 und dem SharePoint 2013 bzw. Exchange 2013 anfangen… Das wird wohl von der Prio nun nach hinten verlegt… Denn Sicherheit geht vor, bevor man neue Produkte einführt.

Btw. der TMG ist auch ein sehr zuverlässiger VPN Gateway. Welches bevorzugte Produkt wird denn nun bei Azure empfohlen? ja richtig Azure. Gerade erst kam die Meldung, das die Azure Netzwerke auch für Enterprise VPN Anbindungen und Hybrid Cloud Lösungen angeboten werden. Windows Azure Virtual Network mit der Option (oder besser Verpflichtung) das eigene Netzwerk per SSL-VPN oder Secure VPN und als Punkt-zu-Punkt Verbindung zu nutzen. Klar geht das schon seit Windows NT 4 mit RRAS (so alt ist nämlich die Routingserver Option), aber ich vermisse dann noch immer die Applikationsfirewall, die mir genau das Stück Sicherheit mitbringt, das nur die Daten im Datenstrom enthalten sind, die ich auch erwarte.

Lieber leser, gerne darfst Du auch kommentieren… Denn ich bin nun fertig und gehe schlafen :-)

Gute Nacht TMG, ISA und Proxyserver….

Michael

 

The short URL of the present article is: http://wp.me/p1MQAv-zd

Tagged with:

Filed under: Infrastructure