TMG 2010: L’alternativa che non c’é
Dopo quasi un mese di ricerca, la conclusione è una sola: Non c’é al momento sul mercato un prodotto che possa candidarsi come una vera alternativa a TMG 2010. Questo non vuol dire che non sia possibile trovare sul mercato prodotti che sanno fare bene cose che TMG 2010 è in grado di fare; i prodotti ci sono…solo che bisognerebbe prenderne minimo due, se non tre.
Purtroppo il Frankenstein di prodotti e funzionalità farebbe solo lievitare i costi e far venire un gran mal di testa a chi li deve gestire e configurare.
A questo punto conviene davvero abbandonare rapidamente TMG 2010? Ad oggi mi sento di dire che non conviene. Quindi, che fare?
Vediamo di mettere in evidenza alcuni punti chiave, 10 per la precisione:
1° - Supporto TMG 2010
Microsoft supporterà TMG 2010 in Mainstream fino al 2015 ed in Extended support fino al 2020, con gli abbonamenti al sistema di filtraggio URL e Antimalware in chiusura gia’ a dicembre 2012. Questo è il dato di partenza. Microsoft è al nostro fianco fino al 2020 per supportare TMG, quindi se abbiamo un problema che non possiamo risolvere con Knowledge base, forum o altre risorse su Internet possiamo aprire una chiamata con il supporto Microsoft.
2° - Filtraggio Web e Antimalware
Da dicembre 2012 non è più sottoscrivibile, quindi se usiamo il filtraggio integrato e non vogliamo rinunciare sia a TMG che al filtraggio delle URL, la soluzione sono i filtri ISAPI dei partner. GFI e Websense, prodotti maturi e con una lunga storia di integrazione con il firewall Microsoft sono quelli che mi sento di consigliare. GFI si è già esposta dicendo che supporterà TMG fino al 2020; Websense credo che farà altrettanto.
3° - Pubblicazione Servizi
In questo ambito TMG 2010 fa da padrone, specialmente per la sua integrazione con i servizi Microsoft, in particolare Exchange, Sharepoint ecc. Se non è prevista la migrazione dei server di posta a Exchange 2013 il problema non si pone; TMG 2010 si integra perfettamente con Exchange fino alla versione 2010. Lo stesso dicasi per gli altri servizi. Se invece è nei piani l’aggiornamento dei server ai servizi di ultima generazione di Microsoft (es. Exchange 2013 in primis) allora è il caso di mettere da subito in cantiere UAG 2010 affiancandolo inzialmente a TMG 2010 per la pubblicazione dei nuovi servizi. Lo sviluppo di UAG 2010 continuerà.
4° – IPv6
TMG 2010 non supporta IPv6; quindi se è nei piani la migrazione della vostra infrastruttura a IPv6 e l’abbandono totale di IPv4 allora c’é poco da fare, TMG 2010 va abbandonato.
5° – Windows Server 2012
TMG 2010 non si installa su Windows 2012; quindi se la vostra infrastrutturà includerà solo ed esclusivamente nuovi server con Windows 2012..TMG 2010 va abbandonato.
Nota: Windows Server 2008 R2, l’ultimo OS su cui è possibile installare TMG 2010, terminerà anche’esso il suo ciclo di vita nel 2020, precisamente il 14/01/2020 tre mesi prima di TMG 2010.
6° – VPN e Direct Access
Il mondo della VPN è abbastanza poco sensibile alle grandi novità; in quest’ambito la durata di TMG 2010 dovrebbe essere al sicuro. Discorso a parte il Direct Access che richiede comunque IPv6, quindi potete optare direttamente per un Windows Server 2012 come end-point oppure UAG 2010 al fianco di TMG 2010.
7° – TMG come Firewall
La longevità non dovrebbe essere un problema, almeno fino a quando ci saranno servizi fruibili in IPv4 ed i servizi IPv6 non cominceranno realmente ad imporsi. Quando ciò avverrà saranno certamente presenti altri prodotti sul mercato che renderanno il passaggio al nuovo meno problematico di quanto possa esserlo adesso.
8° – TMG come Proxy (Forward e Reverse)
In infrastrutture IPv4 l’uso di TMG 2010 come Proxy è destinato a durare a lungo. Ci sono ancora infrastrutture con ISA 2000 in produzione (End of Life il 12/04/2011), ISA 2004 (supporto Mainstream terminato il 13/10/2009) , ISA 2006 (supporto Mainstream terminato il 10/01/2012). Il problema potrà presentarsi solo con reti IPv6.
9° – Caching
Altra funzionalità destinata a durare, particolarmente utile nelle configurazioni Reverse Proxy, un pò meno in quelle Forward. Questa è una di quelle funzionalità che non sente il peso del tempo. Il vincolo è sempre e solo rete IPv4.
10° – TMG Client
Questo è un punto che spero si chiarisca presto; al momento TMG Client è supportato solo fino a Windows 7, nessuna informazione sul supporto di Windows 8. E’ lecito pensare che non ci sarà un aggiornamento del TMG Client vista l’indicazione di Microsoft a non sviluppare ulteriormente il prodotto.
Va detto che l’adozione di Windows 8 senza l’aggiornamento del TMG Client può creare dei problemi in quelle realtà dove è richiesto che tutto il traffico IP (HTTP e non) sia autenticato. In questo caso la soluzione è l’abbandono del TMG Client mantenendo la sola autenticazione HTTP/HTTPS via proxy.
Conclusione
Ad oggi sul mercato non ci sono ancora valide alternative a TMG 2010. Ci vorrà certo del tempo prima che arrivino e si consolidino. Penso che il futuro di TMG 2010, per quanto ormai stabilito, non è certo finito domani. Alcune funzionalità andranno abbandonate, altre mitigate, altre richiederanno una analisi più approfondita, ma nessuna condizione è tale da pregiudicare la presenza di TMG 2010 come prodotto di protezione della nostra infrastruttura Microsoft. L’unica funzionalità su cui è bene attivarsi rapidamente è quella del Web Filtering; migrare a filtri ISAPI è la scelta più semplice. Vorrei chiudere con un consiglio agli amministratori ISA 2004/2006 – ce ne sono ancora tanti - che pensavano di migrare, prima della doccia fredda, a TMG 2010: riflettere bene sui 10 punti che ho proposto e non stupirsi se si arriva alla conclusione che un TMG 2010, magari con al fianco UAG 2010, è la scelta migliore da fare. Fino a dicembre 2012 è ancora possibile acquistare le licenze.
La ricerca continua…
Per domande e commenti potete scrivere sul blog, sul forum di ISAserver.it oppure scrivermi una mail a lconte<at>isaserver.it.
A presto
Luca Conte
Fondatore di ISAserver.it
MCSE/MCSA:Security, MCT, MCITP:Windows 2008
MCTS: Windows Virtualization, VMWare VCP
IEEE Member, CS Member
ISA/TMG Server Jumpstart 2012
27/28 Nov – Milano (iscrizioni aperte!)
Riferimenti
TMG 2010: Alternative per il web Filtering
GFI & TMG 2010 insieme fino al 2020
E’ ora di migrare a UAG 2010
TMG 2010: Microsoft risponde ai Partner
Setup Failed!! con Windows Server 2012
TimeLine – Da Proxy 1.0 a TMG 2010, 12 anni di storia
TMG 2010 Timeline
Etichette: Alternative, Analisi, Timeline, TMG, UAG
2 Comments:
Salve, purtroppo ho passato anche io parecchie ore di lavoro per valutare alternative a TMG, in particolare sul fronte Reverse Proxy (assolutamente imbattibile in questo campo), e sono giunto alla stessa conclusione: non ci sono alternative, sia a livello tecnologico sia a livello di costi. UAG, che che ne dica MS, ha dei costi altissimi ed è molto più complesso da configurare.
Quando poi leggo sulla documentazione di Lync 2013 che si fa ancora riferimento a TMG 2010 per la parte di RP, allora non so se ridere o sentirmi preso in giro.
Per concludere, ho letto poche considerazioni sul perchè MS abbia chiuso TMG, ecco la mia teoria: in questo momento MS è ossessionata dal cloud, e sta facendo di tutto per portare i clienti con installazioni on-premise verso i suoi impianti. TMG è un prodotto che facilita enormemente la pubblicazione di impianti presso i clienti, quindi cosa c'è di meglio che togliere uno strumento del genere per rendere l'installazione tradizionale molto più complessa e costosa e quindi invogliare il cliente a passare al cloud? Macchiavellico? Forse. Oppure è la triste verità.
Ciao
Luca
Ciao Luca, grazie per aver condiviso il tuo punto di vista ed esperienza diretta.
Certamente la logica Cloud può essere parte dell'equazione e le logiche di vendita possono aver completato l'operazione. Vedremo cosa farà Microsoft nei prossimi mesi, per il momento la cosa migliore da fare è tenersi TMG, i tempi non sono ancora maturi per abbandonarlo senza rischi.
Una nota, l'appliance TMG (vedi Winfrasoft, Celestix ecc.) continuerà ad essere venduto anche dopo dicembre.
Luca
Posta un commento
<< Home