Indicazioni dal team Exchange per un dopo TMG

In un interessante post di Greg Taylor (Principal Program Manager Lead) del team Exchange da titolo Life in a Post TMG World – Is It As Scary As You Think? vengono forniti interessanti spunti di riflessione su come affrontare l’era post TMG.

Di seguito riporto alcuni stralci, ma la lettura completa è consigliata:

“…My car (let’s call it Threat Management Gateway, or TMG for short), isn’t actively developed or sold any more (like TMG). However, it (TMG) works fine right now, it does what I need (publishes Exchange securely) and I can get parts for it and have it serviced as needed (extended support for TMG ends 2020)

and so I ‘m keeping it. When it eventually either doesn’t meet my requirements (I want to publish something it can’t do) or runs out of life (2020, but it could be later if I am ok to accept the risk of no support) then I’ll replace it…”

 

“…when something stops being sold, like your car, it doesn’t immediately mean you replace it, but instead think about the situation and decide what to do next…”

 

“..Here are some interesting Exchange-related facts to help further cement the idea I’m eventually going to get to.

1. We do not require traffic to be authenticated prior to hitting services in front of Exchange Online.
2. We do not do any form of pre-authentication of services in front of our corporate, on-premises messaging deployments either.
3. We have spent an awfully large amount of time as a company working on securing our code, writing secure code, testing our code for security, and understanding the threats that exist to our code. This is why we feel confident enough to do #1 and #2.
4. We have come to learn that adding layers of security often adds little additional security, but certainly lots of complexity.
5. We have invested in getting our policies right and monitoring our systems.

This basically says we didn’t buy another car when ours didn’t meet our needs any more. We don’t use TMG to protect ourselves any more.…”

Che dire, l’ultimo paragrafo fa un certo effetto - “..We don’t use TMG to protect ourselves any more..” – specialmente dopo anni di evangelizzazione fatta da Microsoft nella pubblicazione dei servizi Exchange su Internet.

Comunque l’articolo deve fare riflettere per prendere le giuste decisioni. Volendo ulteriormente semplificare i 5 punti espressi da Greg possiamo dire che la situazione è la seguente:

• NON HO traffico preautenticato in DMZ  => TMG non serve => pubblicare direttamente i CAS di Exchange
• HO bisogno di traffico preautenticato in DMZ => Uso TMG finché posso (…altri 7 anni?), migro ad un nuovo prodotto? Integro con Web Application Proxy di Windows 2012 R2? o cosa?

Altro aspetto che viene messo in luce è che per TMG 2010 non ci sarà un update per il supporto alla pubblicazione di Exchange 2013 (punto).
L’unico modo per pubblicare Exchange 2013 con TMG 2010 è spiegato dal team Exchange nel post - Publishing Exchange Server 2013 using TMG –. Ovviamente la soluzione è supportata come best effort, senza rilascio di fix o update in caso di problemi.

Ad oggi l’unico prodotto Microsoft che supporta la pubblicazione di Exchange 2013 è UAG 2010 SP3…a meno di non trovare una soluzione con Web Application Proxy di Windows 2012 R2 che per il momento sembra utilizzabile solo per OWA.

Voi cosa ne pensate? 

Per domande e commenti potete scrivere sul blog, sul forum di ISAserver.it oppure scrivermi via mail a lconte<at>isaserver.it.

Luca Conte
Consulting Services & Professional Training
Fondatore di ISAserver.it/TMGServer.com
MCT, MCSA: Windows 2012, MCITP:Windows 2008
MCSE/MCSA:Security, MCTS: Windows Virtualization
IEEE Member, CS Member, ITIL v3 Foundation, VMWare VCP

Riferimenti
Life in a Post TMG World – Is It As Scary As You Think?
Publishing Exchange Server 2013 using TMG
Web Application Proxy