Início > Application Request Routing, IIS, Web Application Proxy, Windows Server 2012 R2 > Como fica o reverse proxy pós Forefront TMG e UAG

Como fica o reverse proxy pós Forefront TMG e UAG

Saudações,

Tenho visto na Microsoft muitos projetos de implementação e muitas perguntas acerca de como fica a parte de proxy reverso agora que o TMG irá ser descontinuado.

As corporações até podem manter sua estrutura atual do TMG para reverse proxy até 2020 (prazo em que o suporte extendido se encerra), porém, algumas questões devem ser levadas em consideração e aí você assume (ou não) o risco.

1. O suporte ao Windows Server 2008 R2 deverá estar ativo, e as atualizações continuarão, porém, em termos de performance e até mesmo segurança entramos numa zona de risco. Como estará o cenário de segurança daqui a alguns anos, meses ou até mesmo dias? Não sabemos.

2. Os métodos de autenticação no TMG hoje estão aquém daquilo que as novas versões do Windows oferecem. Portanto, temos um decréscimo na segurança também neste ponto.

3. Qual o custo que a corporação terá que assumir para manter um sistema legado desses e quais os problemas que isso pode gerar em questões como a atualização da aplicação no servidor de destino? A atualização no servidor WEB não está atrelada a versão ou métodos que o TMG utiliza para fazer o tráfego entre a origem e o destino. Portanto, pense bem antes de assumir o risco de manter o produto se uma atualização na aplicação não irá causar erros no acesso por parte dos usuários.

4. Ainda na questão do custo, imagine que você tem um contrato de licenciamento que lhe gere um custo anual de acordo com o que você tem instalado em termos de sistema operacional e aplicações. Dependendo do tamanho da sua estrutura de proxy reverso, a manutenção do mesmo poderá gerar um custo que não seria tão alto caso você pense em migrar.

Esses são apenas alguns fatores a serem pensados por nossos clientes e nós da Microsoft estamos ajudando com essas e outras questões que aparecem de acordo com cada ambiente.

Outro ponto relevante é o caso de alguns clientes que migraram suas infras de Exchange para a versão 2013. É possível publicar o Exchange 2013 no TMG, porém, não é um cenário suportado. Caso haja problemas, a corporação não tem a cobertura da Microsoft para uma eventual análise de caso.

Para quem pensa em migrar, é interessante pensar numa solução completa que englobe todos os pontos que o Forefront TMG cobre (Inspeção de Malware, Rede, filtro de conteúdo, proxy, firewall, cache e proxy reverso).

Hoje, a solução mais interessante no que tange a preço e serviços como um todo é o UTM da Sophos – veja detalhes em www.sophos.com – que cobre praticamente todos os pontos de atuação do Forefront TMG. Tanto que o pessoal da FastVue postou um artigo com os passos para se montar um proxy reverso usando Sophos – veja em http://fastvue.co/sophos/blog/how-to-publish-websites-with-sophos-utm-web-server-protection/ .

Voltando ao universo Microsoft, a chegada do Windows Server 2012 e o Windows Server 2012 R2 veio suprir muitas lacunas deixadas com a saída do TMG. Como o conceito agora é ter sempre um ambiente seguro pensando em todas as soluções (e não só em uma), o serviço de reverse proxy pode ser oferecido a partir do próprio Windows a um custo muito mais baixo (em se tratando de licenciamento) a partir do Web Application Proxy e do ARR (Application Request Routing) do IIS 8.5.

No fim de 2013 entreguei diversos webcasts sobre o tema “Segurança para Redes Microsoft” onde dei uma pincelada nestas duas ferramentas. Você pode ver o conteúdo de uma das apresentações clicando aqui.

A proteção a suas aplicações fica mais confiável, pois, o acesso a elas dependerá de diversos fatores inclusos nas features de segurança do Windows Server 2012 R2. A autenticação via kerberos é fortalecida com o conceito de “claims”, onde o processo de autenticação vem muito mais forte do que nas versões anteriores. Veja o que há de novo em Kerberos a partir do Windows Server 2012 em http://technet.microsoft.com/en-us/library/hh831747.aspx

O Web Application Proxy faz parte da feature Remote Access do Windows Server 2012 R2 e é uma evolução do Active Directory Federation Services Proxy no Windows Server 2012. Com ele vc pode publicar aplicações usando autenticação Kerberos com claims (http://support.microsoft.com/kb/2722087) e KDC (http://technet.microsoft.com/en-us/library/cc734104(v=WS.10).aspx).

Para conhecer o produto vá em http://technet.microsoft.com/en-us/library/dn584107.aspx

Uma documentação completa com o passo a passo da implementação do WAP (Web Application Proxy) para acesso a aplicações internas vá em http://technet.microsoft.com/en-us/library/dn383650.aspx.

Um fator importante para quem vai publicar aplicações usando certificado digital. Os novos certificados SHA2 – CNG (Certificate New Generation) não são suportados pelo TMG. Além do que o conceito do SNI (Server Name Indication) fortalece a segurança para aplicações hosteadas no IIS a partir da versão 8. Para saber mais sobre o SNI clique aqui.

O WAP é a ferramenta recomendada para publicação de aplicações e para acesso remoto em SharePoint, aumentando sua segurança.

O único ponto a ponderar é que o WAP só trabalha com certificado digital, ou seja, somente aplicações SSL são tratadas pela feature. Se você publica alguma aplicação somente na porta 80 (HTTP) terá que usar alguma outra ferramenta, ou aguardar até o lançamento da próxima versão do produto que irá tratar esse tipo de requisição.

Para publicações em HTTP estamos sugerindo a manutenção do TMG ou UAG. Portanto, cabe em seu planejamento pensar nessa questão.

Uma sugestão de leitura também é o post do Ian Parramore da Microsoft sobre SSL Termination no WAP, publicado em 04/07/2014  – quando e como usar  – para ler o post clique aqui.

Sobre o Application Request Routing (ARR), confesso que ainda não tive tempo de fazer nenhum laboratório na funcionalidade, mas, se trata da viabilidade de publicar o Exchange 2013 a partir do IIS. Para conhecer sobre o produto, o link abaixo oferece a você uma série de links do site www.iis.net que irão ajuda-lo no planejamento, instalação e uso de forma geral:

http://www.iis.net/search?searchterm=arr

Espero que o conteúdo seja útil e possa ajuda-lo na fase de transição de sua infra estrutura de Rever Proxy.

Um abraço

Uilson

  1. 10 de julho de 2014 às 8:57

    Republicou isso em Rui Abel Bloge comentado:
    Very interesting, please read.

  1. 20 de maio de 2015 às 14:40

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: