Не один, так другой! На что можно заменить Microsoft Forefront TMG

/
/ Не один, так другой! На что можно заменить Microsoft Forefront TMG

Forefront TMG (бывш. Microsoft ISA) - предлагался Microsoft как комплекс сетевой безопасности с ключевыми компонентами:

HTTP proxy; (именно так TMG, чаще всего используется в крупных организациях)

Firewall;

VPN;                                       (этот функционал заложен в TMG, чаще в небольших и средних организациях )

Публикация приложений.

 

01.12.2012 – окончание продаж Forefront TMG как отдельного продукта (остаются доступны только OEM-лицензии)

14.04.2015 – окончание основного цикла поддержки Forefront TMG

31.12.2015 – окончание поддержки Forefront TMG Web Protection Service (WPS)

14.04.2020 – окончание поддержки программно-аппаратных комплексов Forefront TMG со стороны OEM-партнеров

14.04.2020 – окончание расширенного цикла поддержки Forefront TMG

 

Microsoft, при необходимости замены Forefront TMG, предлагает партнерам использовать решения сторонних компаний. В качестве таких решений, мы предлагаем устройства McAfee и CheckPoint.

 

При принятии решения о замене TMG самое главное не ошибиться с выбором, очень важно понять какую функцию выполнял TMG. В разрезе безопасности выглядит это следующим образом:

Forefront TMG

1) Защита доступа в интернет (Firewall, VPN) CheckPoint SWG

2) Контроль интернет доступа  (в качестве Proxy-сервера) McAfee WG                                  

McAfee Web Gateway (MWG) – Решение класса Web Security Gateway. Является идеальной заменой для TMG который выполняет функции защищенного прокси-сервера.

UTM CheckPoint Security Web Gateway (SWG) – Отлично подходит в качестве замены TMG который выполняет функции межсетевого экрана и VPN сервера, иными словами CheckPoint SWG это решение для защиты Web-трафика с возможностью глубокого анализа событий ИБ.

 

Замена Microsoft TMG на решения CheckPoint:

Задачи безопасности, которые выполняет TMG, и даже больше, полностью выполняются программно-аппаратными решениями UTM CheckPoint UTM-1. Система может быть установлена как на физических устройствах производимых компанией и сторонними производителями, так и на виртуальных серверах. Некоторые устройства линейки UTM-1 имеют возможности для добавления необходимого количества и типа сетевых интерфейсов. Решения на основе программно-аппаратных средств компании CheckPoint, в полной мере закрывают не только задачи решаемые TMG, но и позволяют реализовать комплексный подход к решению проблем ИБ в рамках одного производителя и поставщика решений безопасности, в компаниях любого размера. Продукция компании CheckPoint выделяется удобным централизованным управлением всеми устройствами, а также логгированием событий и построением отчетов, как в реальном времени, так и за определенный период. Консоль управления имеет понятный графический интерфейс, разобраться с ними администраторам Microsoft не составит труда; также присутствует полный комплект инструментов командной строки, дублирующий все настройки графического Web-интерфейса на случай начальной настройки и обслуживания системы.

 

Преимущества CheckPoint перед Microsoft TMG:

Межсетевой экран с запатентованной технологией Stateful Inspection. Данная технология позволяет контролировать сетевой трафик и содержит гибкий механизм проверки потока данных и принятия решений в отношении его защиты на основе предварительно сохраненной таблицы состояний. Программный блейд Check Point VPN обеспечивает безопасное соединение к корпоративным сетям, региональным отделениям, удаленным и мобильным пользователям, бизнес-партнерам. Существует несколько вариантов подключения: клиент CheckPoint Mobile (Apple OS, Android OS, Windows Phone), SSL VPN Портал, защищенная рабочая область (виртуальный рабочий стол), двухфакторная аутентификация, клиент по требованию. Программный блейд CheckPoint «Application Control» - позволяет идентифицировать огромное количество приложений, благодаря чему для конкретного пользователя/группы пользователей можно выборочно блокировать Torrent, Skype, DropBox, ICQ, RDP, SSH и еще более 5000 приложений и протоколов. Данное решение препятствует посещению сотрудниками посторонних и нежелательных web-сайтов и помогает организациям обеспечивать безопасность и контроль тысячи различных приложений Web 2.0 и интернет-приложений. Программный блейд CheckPoint IPS — отличная система предотвращения вторжений. На протяжении многих лет этот факт подтверждается независимыми исследовательскими лабораториями по ИБ, а также реальным пользовательским опытом, в том числе среди российских потребителей. В то время как TMG нельзя серьёзно относить к устройствам IPS/IDS. «Anti-Bot + Anti-Virus» - этот блейд защищает от угроз, передаваемых по протоколам HTTP, FTP, SMTP и POP3. Модуль Anti-Bot выявляет уже зараженные ПК в организации по специфической сетевой активности и блокирует сетевую активность вредоносных модулей на них.

Замена Microsoft TMG на решения McAfee:

В случае если TMG использовался как прокси-сервер для контроля доступа к ресурсам сети интернет – отличным вариантом замены будет McAfee WG. Основные задачи MWG - препятствовать проникновению вредоносного ПО (вирусы, трояны, черви и пр.) в корпоративную сеть при использовании доступа в Интернет (включая анализ поведения динамических элементов на веб-страницах, включая Java-script, ActiveX и т.д.). MWG обеспечивает максимально гранулярный контроль использования доступа в Интернет: URL фильтрация по категориям, фильтрация по репутации IP\домена\URL, фильтрация по типам файлов, назначение квот по объему\времени, ограничение полосу пропускания по различным критериям, контроль использования веб-приложений и пр. Модуль написания политики фильтрации в McAfee Web Gateway, например, предоставляет более 500 критериев для максимально гранулярного составления политики под любые задачи, проще говоря возможность тонкой настройки всех правил и политик присутствуетJ.

McAfee WG представлен как в виде аппаратно-программного комплекса, так и в виде софта. Поддерживает централизованное управление всеми шлюзами с любого другого через веб консоль, так же поддерживает иерархию управления, проще говоря, система управления полностью настраивается под любые требования.

 

Преимущества McAfee перед Microsoft TMG:

В McAfee WG используется одновременно 2 антивируса, по принципу эшелонированной защиты. Все решения McAfee могут использовать в своей работе информацию о вредоносных объектах из глобальной базы GTI, информация в которую добавляется со всех решений McAfee по всему миру, что позволяет использовать проактивный подход к безопасности. При необходимости расширения функционала безопасности до FW/VPN/IPS стоит совместно использовать McAfee NGFW (Stonesoft).

Огромным плюсом выбора McAfee является возможность приобретения McAfee WG вместе с  McAfee Email Gateway (для защиты почты) в составе бандла McAfee Content Security Suite по цене на 10% дороже чем лицензия на McAfee WG! McAfee Email Gateway, как и McAfee WG, может поставляться в виде физических устройств или образов виртуальных устройств под VMWare ESX\ESXi (лицензия не ограничивает количество виртуальных устройств и количество кластеров). Кроме того, внедрение McAfee WG в инфраструктуру, дает в дальнейшем практически неограниченные возможности для расширения функционала всей системы безопасности, такими решениями как: McAfee DLP для защиты от утечек информации, McAfee NSP для защиты от сетевых угроз, McAfee ATD для анализа кода в изолированной среде, McAfee SIEM для корреляции событий ИБ и другими средствами защиты McAfee, в конечном итоге позволяя закрыть все нерешенные вопросы ИБ в организации заказчика под единой системой управления!

 

Сравнительная таблица.

Характеристика

Check Point SWG

TMG

McAfee WG

Функционал Web Proxy

Режимы работы

Transparent Proxy,

Non-Transparent Proxy, Router, Bridge.

Явный прокси, роутер.

Explicit proxy (явный прокси), Transparent router (маршрутизатор), Transparent bridge (прозрачный мост), Transparent proxy с поддержкой wccp

Категории URL

+

+

+

119 категорий ~ 450М URL

Категории приложений

+

Обновляемая база сигнатур приложений всех типов

+/-
Ограниченный набор приложений использующих http/s

+

Обновляемая база приложений, 1024 приложения разбиты на 28 категорий

Аутентификация пользователей

+

Агентская/без агентская, через свой Web интерфейс и внутреннюю БД, MS AD, RADIUS, LDAP

+

Агентская/без агентская, MS AD, RADIUS

+

Без агентская, через свой Web интерфейс и внутреннюю БД, MS AD RADIUS, LDAP, eDirectory

Интеграция с MS AD

+

+

+,

(NTLM v1/v2, LDAP, Kerberos),

Система отчетности

Check Point Smart Event – входит в состав лицензии

Сторонний софт

McAfee Web Reporter/McAfee Content Security Reporter – входит в состав лицензии

Дешифровка HTTPS

+

+/-

+

Сетевой функционал (router, VPN, прочее)

 

Маршрутизация

Динамическая, статическая

Статическая реализована на базе возможностей Windows Server

Динамическая (ospf, bgp), статическая

NAT, публикация приложений

+

+

+

Расширенная публикация приложений, в том числе Reverse Proxy

+

+

+

Отказоустойчивость каналов провайдеров

+,
в том числе в кластерных конфигурациях

+/-

-,

Нет необходимости, т.к. работает за FW

Отказоустойчивость самой системы (кластеризация)

+,
VRRP, ClusterXL (собственная технология)

+/-

+,

VRRP (балансировка нагрузки без использования внешних балансировщиков)

QoS

+,
полноценное решение

+/-

+,

(Bandwidth management per Request)

Функционал безопасности

 

Firewall

+,
Stateful firewall

+

+,

(графическая надстройка над iptables)

IPS

+,

больше 1000 настраиваемых сигнатур

+/-,

очень ограничены сигнатуры около десятка

-,

Нет необходимости, т.к. работает за системами защиты

(например, McAfee NGFW (Stonesoft))

Антиспам

+

-

+/- защита почты с помощью Mail Gateway при доплате в 10% до бандла McAfee Content Security Suite

Антивирус

+

+

+, 2 движка, avira+mcafee, сигнатурный безсигнатурный.

Функционал управления

 

Графическая консоль управления под Windows

+

+

+ web консоль

CLI консоль

SSH, Unix like shell

Cmd, powershell

+

Централизованное управление

Универсальное для всех продуктов компании

Специализированное для FF TMG

ИНТЕРЕСНЫЕ МАТЕРИАЛЫ В IT-СФЕРЕ
СМОТРЕТЬ ВСЕ
Реальная цена оптимизации IT-расходов

Часть 1: Герои оптимизации IT расходов

СТАТИСТИКА УСПЕШНОСТИ ВНЕДРЕНИЙ

Автор статьи - Виталий Колпаков 
Специалист по проектам "Департамента интеграции".
Превью YouTube 1280x720 пикс.jpeg

Согласно опубликованным данным, средняя стоимость завершенных проектов в сфере информационных технологий в 2014 году составила 189% от первоначальных оценок (CHAOS Manifesto 2014: Value versus Success&the Orthogonals/ The Standish Group International 2014).



Источник: http://iosrjournals.org/iosr-jce/papers/Vol16-issue2/Version- 12/F0162122940.pdf?roistat_visit=210366

Мало что изменилось в 2019-2020. Любая оптимизация подразумевает под собой изменения инфраструктуры маленькие или большие (модернизация). Данный цикл статей будет посвящен как раз модернизациям IT-инфраструктуры. Эти статьи не будут выходить за рамки темы IT–инжиниринга, но в свою очередь всесторонне опишут практически каждую из «систем» любой компании . Возможно ты найдешь множество интересных статей в нашем блоге olly.ru/blog.
Сегодня речь пойдет о самом главном- сердце любого бизнеса - ДЕНЬГАХ, а конкретнее о затратах на IT внутри компании.
Как и все остальное в компании, IT-инфраструктура требует затрат. В большинстве компаний IT занимает первые места по расходам. После организации труда, только информационные системы и технологии вносят ощутимый вклад в производительность и прибыльность компаний.

ДЕЙСТВУЮЩИЕ ЛИЦА

ВЛАДЕЛЕЦ – не одно и тоже, что и CEO- тот кто создал компанию, старается максимально сэкономить на каждом пункте затрат, без потери функционала. Прямыми оппонентами Владельца являются CEO и CIO т.к. рынок требует постоянных изменений для удержания позиций, простой экономии недостаточно.

CEO (Управляющий директор) – любая модернизация должна давать эффект, выраженный в фин. показателях. В разрезе IT, CEO может находиться с CIO в постоянном диалоге о целесообразности внедрения той или иной системы. Успешность или провал внедрения подтверждается CFO.

CIO (ИТ-директор) – поддержание работоспособности без простоев – динамичная задача. Компания постоянно растет и изменяется. Огромный арсенал появляющихся сервисов и служб могут решить те же самые задачи, меньшими силами. CIO должен быть готов к изменениям. Архитектура компании должна быть готова к изменениям.

CFO (Финансовый директор) - на долю CFO выпала задача подводить итоги и давать однозначную оценку всему, что происходит в компании. 

Показатели затрат:

Масштаб расходов компании может быть кардинально разным. Но все компании объединяет виды расходов, а именно капитальные (CAPEX) и операционные (OPEX). Расшифруем более подробно, что за ними стоит.

CAPEX

· Обновление и модернизация оборудования
· Программное обеспечение
· Запасные детали
· Инструменты
· Курсы и обучающие материалы IT персонала

OPEX

· Обслуживающий персонал (зарплата, отчисления в фонды, медстраховка и т. п.)
· Электричество, в том числе и на обслуживающие системы (пример вентиляция)
· ПО и сервисы (по подписке)
· Аутсорс
· Проценты кредитного или лизингового оборудования

У тех и у других свои преимущества и недостатки.

CAPEX

Плюсы:
· Очевидным плюсом для всех является правило – «купил и забыл»
Минусы:
· Обслуживание и настройка ложится на плечи покупателя
· ЛВС и коммуникации

OPEX

Плюсы: 

 · Очевидным плюсом является гибкость организации. У вас появился крупный проект и нужно нарастить штат, докупаешь нужное количество и лицензий и идешь в бой. Непредвиденные обстоятельства ужали бюджет проекта, оперативно сокращаешь штат и кол-во лицензий. 

· Фин. Директора любят этот показатель за его предсказуемость.

Минусы:
· Не всегда стоимость сервисов и подписок выгоднее приобретения того же ПО, особенно в расчете на несколько лет.
 
ЧТО СТОИТ ЗА ОПТИМИЗАЦИЕЙ IT РАСХОДОВ

ОПТИМИЗАЦИЯ не подразумевает собой только вычеркивание пунктов затрат. Для оптимизации нам нужно сменить тип затрат. Другими словами, какие-то затраты станут CAPEX, какие-то OPEX.Не всегда стоимость сервисов и подписок выгоднее приобретения того же ПО, особенно в расчете на несколько лет.


К сожалению, нельзя просто сменить часть ПО, уволить персонал и отдать все на аутсорс, а мощности перебросить в «облако». Издержек не избежать (переобучение персонала, неминуемые ошибки и простои, взаимодействие этого приложения со всеми остальными, недостающий функционал и т.д.) Выходит, то, что изначально предназначалось для изменения чисто финансовых показателей, теперь выходит даже за рамки ИТ характеристик. В конечном итоге успешной может считаться оптимизация, в которой данные характеристики не ухудшились.

· Функциональные возможности IT- инфраструктуры
· Скорость работы информационных систем
· Скорость сервисов и служб на рабочем месте пользователя
· Отказоустойчивость узлов системы

Только при неизменности этих параметров можно говорить, что внедрение или оптимизация удались. С высокой долей вероятности мы получим не то, что хотели. В последнее время для всеобъемлющей оптимизации требуется помощь отдельного специалиста. В наиболее передовых компаниях есть специальная должность- Директор по цифровым технологиям (CDO) Однако большинство организаций прибегают к помощи IT-интеграторов.

ПОЧЕМУ ИНТЕГРАТОР
  
Абсолютно любой CIO не обладает широтой знаний о существующих системах. Немногие CIO знают как правильно внедрить системы «без потерь».19% компаний США имеют позицию CDO.


Источник: https://preview.thenewsmarket.com/Previews/PWC/DocumentAssets/476557.pdf 

Количество новых продуктов растет не менее чем на 10% в год. Более 70% из них- стартапы.
  
У ИТ- директора фактически нет времени и осведомленности о выходящих продуктах, которые могут решить головную боль конкретного сегмента компаний. Этой информацией может обладать только специалист. Подробную информацию вы можете отыскать у нас на сайте.

ТРЕНДЫ РАЗВИТИЯ IT или ОЧЕВИДНЫЕ ПРОБЛЕМЫ

Решений и приложений On Premises становится все меньше. Пионерами серьезного продвижения этой системы были Microsoft с выходом их продукта Office 365. Далее появились Adobe, Cisco и тд. На сегодняшний момент практически все вендоры имеют в своем портфеле решений продукты по подписке.

Конкретно на российском рынке уже более 5 лет бушует тренд импортозамещения, это сокращает объем продуктов и сервисов, т.к. «замещается» далеко не все, что произведено за границей.


В следующей статье вы узнаете о продуктах аналитики деятельности сотрудников и способах увеличения производительности без потери лояльности сотрудников.


А что тут у нас?







Читать подробнее