1. Вступ
2. Forefront TMG - кінець історії
3. продумуємо міграцію
4. Іноземні варіанти заміни
5. Kerio Control
6. Stormshield Network Security
7. Російські варіанти заміни
8. UserGate UTM
9. Інтернет Контроль Сервер
10. Traffic Inspector
11. висновки

У статті розглядається проблема заміни застарілого захищеного шлюзу Microsoft Forefront TMG, який розробник припинив розвивати і підтримувати в квітні 2015 року, на сучасні російські та іноземні аналоги.

1. Введення

2. Forefront TMG - кінець історії

3. Продумуємо міграцію

4. Іноземні варіанти заміни

5. Російські варіанти заміни

6. Висновки

Вступ

У вересні 2012 року компанія Microsoft вирішила піти з високо конкурентного ринку міжмережевих екранів, тобто згорнути розробку Forefront Threat Management Gateway 2010 року (скорочено Microsoft TMG) ​​і сконцентруватися на посиленні захищеності свого основного продукту - операційної системи. В результаті Microsoft оголосила про припинення подальшої розробки та продажу Forefront TMG, і у користувачів тут же виникла необхідність замінити знятий з виробництва продукт. У цій статті ми визначимо можливі шляхи міграції.

Forefront TMG - кінець історії

Отже, 12 вересня 2012 року компанія оприлюднила план щодо згортання подальшого розвитку Forefront TMG, і вже з грудня того ж року компанія припинила його продаж. Проте продукт ще працював і підтримувався фахівцями Microsoft, однак у квітні 2015 року основний цикл підтримки був завершений. Правда, до кінця року ще буде підтримуватися Forefront TMG Web Protection Service (WPS), але вже на початку 2016- го і його пустять у вільне плавання. Втім, якщо продукт був куплений в складі пристрою, то його будуть підтримувати до квітня 2020 року, до цього часу продукт повинен бути повністю виведений з ринку. До 2020 року також залишається можливість придбати Forefront TMG в складі пристрою - їх пропонують, наприклад, компанії SecureGUARD, Celestix, Winfrasoft, IronNetworks.

Правда, варто користуватися в 2016 році продуктом, який не розвивався протягом п'яти років? Це буде, скоріше, ілюзія захисту. Тому зараз компаніям саме час задуматися про перехід на альтернативні продукти, благо їх досить і у іноземних розробників, і у російських.

продумуємо міграцію

Щоб зрозуміти, чим можна замінити Forefront TMG, спочатку потрібно розібратися, які функції цей продукт виконував. Відразу варто відзначити, що Forefront TMG призначався в основному для невеликих компаній, де вирішував цілий спектр проблем інформаційної безпеки. Зокрема, серед них були такі:

• Віддалений доступ користувачів до корпоративної мережі. Це функціонал VPN-рішень, за допомогою яких віддалені співробітники можуть підключатися до корпоративної мережі. Для невеликих компаній краще використовувати SSL-VPN, який стандартизований і добре відомий.
• Захищений доступ до корпоративних веб-додатків. Тут мова в першу чергу йде про захищеною електронною поштою і безпечному корпоративному порталі. Фактично це також покривається функціоналом роботи з SSL, який якраз і захищає канал між браузером співробітника і корпоративним шлюзом.
• Захист комунікацій з філіями. У деяких випадках Forefront TMG використовували для організації захищеної взаємодії з філіями, тобто вирішували класичну задачу VPN. У цьому випадку також зазвичай використовується SSL-VPN, але можна застосовувати IPSec і навіть нестандартні технології шифрування каналу.
• Контроль доступу з корпоративної мережі в інтернет. Все ж основним завданням Forefront TMG був захист корпоративного периметра від атак ззовні, тобто виконання класичних функцій брандмауера.

Всі ці завдання можна вирішити за допомогою міжмережевих екранів, суміщених з VPN-рішеннями. Але зараз таких вузькоспеціалізованих рішень практично немає - їх витіснили продукти класу UTM (Unified Threat Management). Вони об'єднують цілий спектр технологій захисту - антиспам, URL-фільтр, шлюзовий антивірус і багато іншого. Вони зазвичай поставляються в єдиному пристрої або у вигляді образу віртуальної машини. Детальніше ми вже описували ринок UTM-пристроїв в опублікованому раніше матеріалі . Єдина відмінність Forefront TMG від класичних UTM - організація захищеного доступу до корпоративного порталу з зворотнім кешем і прискоренням SSL-сесій. Однак зараз для динамічних сайтів зворотний кеш не актуальний, а SSL-прискорювач входить до складу SSL-VPN.

Резюмуючи, можна дійти висновку, що грамотно вибрати альтернативу допоможе наш попередній огляд UTM . Його можна доповнити торішнім «магічним» квадрантом Gartner по UTM .

Малюнок 1. «Магічний» квадрант Gartner по UTM-рішень за серпень 2014 року

У порівнянні з нашим попереднім оглядом по UTM, лідери в ньому практично не змінилися: це Fortinet, Check Point, Dell, Sophos, WatchGuard. Це компанії, які представляють повний спектр програмно-апаратних комплексів, в тому числі і UTM-пристрої для невеликих компаній. Однак сам Forefront TMG через обмеженої функціональності не відноситься до UTM, тому його можна замінити і на менш дорогі рішення, які пропонують виробники другого плану. Такі продукти якісні, але коштують при цьому дешевше. Зокрема, до них можна віднести продукти компаній Kerio або Stormshild. Існують і цілком непогані російські аналоги, які виробляють компанії Entensys, «А-Реал Консалтинг» та інші.

Іноземні варіанти заміни

Як вже було сказано, в основному на заміну Forefront TMG претендують лідери квадранта Gartner по UTM. Вони здебільшого описані в нашому попередньому огляді пристроїв UTM . Додати варто тільки те, що з лідерів для російських компаній, мабуть, найбільш краща компанія Check Point , Оскільки вона ізраїльська і не підпадає під дію санкцій. Тому в даному огляді ми розповімо в основному про продукти другого плану, які можуть бути невідомі широкому колу читачів.

Kerio Control

Компанія Kerio спочатку розробляла продукти в якості аналогів деяких мережевих рішень Microsoft. Так з'явився поштовий шлюз KerioConnect, який був створений як конкурент Exchange, KerioControl - як аналог Forefront TMG, і KerioOperator - як аналог Lync. Хоча міжмережевий екран KerioControl спочатку розроблявся для заміни Forefront TMG, проте компанія продовжує його розвивати і підтримувати і по сей день.

Stormshield Network Security

Компанія Stormshield була утворена виробниками засобів захисту Arkoon і Netasq. Власне, Netasq вже фігурував в попередньому огляді по UTM, але в лідери не потрапляв - завжди знаходився на кордоні між квадрантами візіонерів і лідерів. Аналогічно і Stormshield знаходиться в квадраті візіонерів за 2014 рік. Це означає, що Stormshild Network Security має хороші перспективи, але лідером поки не є. Проте цей виробник також має кілька партнерів в Росії, які забезпечать встановлення та технічне обслуговування засобів протипожежного захисту даного виробника, що і дозволяє нам рекомендувати цей продукт як заміну Forefront TMG.

Російські варіанти заміни

Forefront TMG є іноземним продуктом, тому навіть якщо він і розвивався б далі, все одно потрапив би під імпортозаміщення. Тому для деяких компаній міняти його на іноземний продукт також може виявитися ризиковано. А тому варто розглянути в тому числі і російські варіанти заміни: вони згадувалися в огляді по UTM, але детально в ньому не описувалися. Зараз є можливість подивитися російські продукти класу UTM більш докладно.

UserGate UTM

Одним з найстаріших продуктів класу UTM на російському ринку є UserGate, розроблений російською компанією Entensys Corporation, яка розвиває його з 2001 року. Ми публікували докладний аналіз UserGate Proxy & Firewall шостої версії. А зараз компанія вже випустила спеціальну версію UserGate UTM, яка об'єднує в собі міжмережевий екран, систему виявлення вторгнень, захист від шкідливих програм і вірусів, систему контент-фільтрації і деякі інші функції. Таким чином, цей продукт по набору функціоналу безумовно може замінити Forefront TMG.

Інтернет Контроль Сервер

Ще один універсальний шлюз під назвою Інтернет Контроль Сервер (ІКС) розробила російська компанія «А-Реал Консалтинг». Докладний огляд ІКС 2.3.4 можна знайти на нашому сайті. Є спеціальна версія продукту сертифікована ФСТЕК. Зараз розробник випустив вже четверту версію свого продукту - він може виконувати наступні функції: контроль і забезпечення безпеки користування інтернетом, фільтрацію контента, організацію обліку трафіку, розмежування прав доступу для користувачів. Є в ньому і робота з шифруванням трафіку, і виявлення нападів, і захист від витоків інформації. Значить, цей продукт також може з успіхом замінити застарілий Forefront TMG.

Traffic Inspector

Російська компанія Smart-Soft також випустила свою версію універсального інтернет-шлюзу по під назвою Traffic Inspector , Який забезпечує і управління правами доступу користувачів до Мережі, і шифрування зовнішніх з'єднань, і виявлення атак ззовні в корпоративну мережу. Продукт також сертифікований ФСТЕК. До того ж це рішення має широкий функціонал для захисту корпоративних мереж, і в подальшому компанія буде тільки розширювати можливості свого продукту. Таким чином, до 2020-го року російський продукт явно повинен перевершити за своїми якостями застиглий в 2012 році Forefront TMG.

висновки

Користувачі Forefront TMG, хоча як і раніше мають можливість купувати продукт у складі пристроїв до 2020 року, можуть вже зараз продумати заміну і поступово перейти на нові рішення, які до того ж мають більш широкий функціонал, продовжують розвиватися і, швидше за все, будуть більш ефективно захищати корпоративні мережі від зовнішніх нападів.

Слід зазначити, що на відміну від Forefront TMG кіберзлочинці не стануть зупинятися на досягнутому і будуть постійно вдосконалювати методи нападу. Популярна серед користувачів продукція Microsoft є для них ласим шматочком, тому зловмисники швидко вироблять кошти проникнення через захист увядающего Forefront TMG. У підсумку захисні властивості цього продукту поступово знизяться до нуля - швидше за все, це станеться ще до 2020-го року. А тому надовго відкладати перехід не варто - краще запланувати його на самий найближчий час, адже можливостей заміни більш ніж достатньо.