lundi 17 septembre 2012

Microsoft Forefront, refonte de la Roadmap


Nous attendions la communication officielle de Microsoft depuis quelques temps. Maintenant que celle-ci est publique (http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx), il nous est apparu nécessaire d'en préciser certains aspects.


La roadmap des produits de la gamme Forefront subi donc quelques ajustements. Le premier d'entre eux et certainement le plus visible est l'arrêt de l'investissement de Microsoft dans la gamme de produit que nous connaissons sous l'acronyme de TMG :
  • Forefront Threat Management Gateway 2010 (TMG)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS) 

Pour les administrateurs TMG actuels, la première conséquence est que Microsoft arrête tout développement sur TMG et il n'y aura plus de nouvelles fonctionnalités (pas de support d'IPv6, …). Ils sont cependant assurés de disposer d'un support jusqu'au 14 Avril 2015 pour la phase de support principale puis jusqu'au 31 Décembre 2020 pour la phase de support étendu. La solution reste toujours cependant disponible dans le catalogue Microsoft, et encore disponible pour les contrats cadre ECAL. 

 Au-delà des raisons d'un tel choix de la part de Microsoft, la solution Microsoft Forefront Threat Management Gateway 2010 reste une solution de premier plan dans les scénarios de type Edge Firewall ou Reverse Proxy pour les produits Microsoft tel que Microsoft Exchange, SharePoint, Lync ou même CRM. Cela reste une solution de publication basique. Des infrastructures basées sur Microsoft ISA Server peuvent cependant tout à fait évoluer vers TMG 2010 pour répondre aux besoins de Firewalling ou encore de Proxy. Pour les solutions existantes de Reverse proxy, Il est recommandé de migrer vers Microsoft Forefront UAG 2010 même si vous utilisez déjà TMG pour ce type de scénario, non pas à cause de cette annonce, mais tout simplement car c’est la solution recommandée par MS depuis 4 ans, qui recoit des investissements. Dans un certain cas, il est tout de même possible d'utiliser TMG. TMG reste encore à jour une solution éprouvée avec de très nombreuses fonctionnalités et, certifié EAL4+.

Concernant la solution Microsoft Forefront Unified Access Gateway 2010, elle reste toujours disponible et aura un successeur. On pourrait penser qu'un investissement faible a été effectué au cours de ces deux dernières années avec seulement quelques mises à jour et une certification EAL2+. Ceci s'explique par sa capacité à s'adapter aux nouveaux scénarios d'entreprise telle que l'émergence des tablettes numériques, l'utilisation des smartphones personnels en entreprise (BYOD) tout en offrant des capacités uniques dans le domaine de la mise à disposition des ressources de l'entreprise à des utilisateurs externes ou des partenaires. Il est par contre très simple de développer avec UAG des spécificités d'entreprise, contrairement à TMG (C#). De nos jours, le pare-feu de nos entreprises ne constitue plus une frontière de sécurité suffisante. Les informations qui font la valeur de nos entreprises circulent entre les utilisateurs internes et externes. C'est là où UAG dispose d'une vraie plus-value par rapport à TMG, en protégeant les applications publiées à l'aide de contrôle de conformité, de filtrage url intelligent, d'identification du device, d'optimisateurs d'url,… Il est par ailleurs moins limité que TMG sur les différents modes d'authentifications, par exemple en supportant la fédération d’identité mais également fournissant on moteur de WebSSO.

UAG est plus qu'une passerelle d'accès distant, c'est une plateforme d'accès aux applications de l'entreprise pouvant proposer plusieurs scénarios d'accès aux utilisateurs connectés tout en s'assurant que les périphériques connectés respectent un certain nombre d'exigences de conformité et utilisant un mécanisme d'authentification forte. UAG supporte tout type de périphériques, depuis les smartphones Windows Mobiles, Android et Apple, les tablettes numériques dont l'usage ne cesse de croitre jusqu'aux postes de travail. L'utilisation d'UAG en tant que passerelle au lieu de TMG est donc plus que recommandé, sachant que l'éditeur a continué les investissements sur ce produit et a été la solution recommandée depuis 4 ans.

Parlons maintenant de Direct Access, même si cette partie n’a rien à voir avec l’annonce de la roadmap Forefront mais l’arrivée de Windows 2012. Les utilisateurs de postes de travail de la génération Windows 7 et Windows 8 pouvaient bénéficier de DirectAccess. Ceci permettait d'étendre le réseau de l'entreprise jusqu'aux utilisateurs, où qu'ils soient connectés sur Internet. Microsoft a développé DirectAccess avec Windows 2008 R2 initialement, puis l'a amélioré avec Microsoft Forefront UAG (avec les transitions 6to4, NAT64, DNS64). Il est désormais possible de retrouver le même niveau de fonctionnalité, mais avec le rôle Unified Remote Access intégré à Windows Server 2012. Les tablettes Windows 8 peuvent tout à fait se connecter à une plateforme DirectAccess reposant sur Microsoft Forefront UAG 2010. La nouvelle solution fournie avec Windows Server 2012 prendra également en charge les clients Windows 7. Voici un résumé des fonctions DirectAccess au fil des versions pour vous montrer l'évolution et l'investissement dans cette technologie .

Fonctionnalité Windows 2008R2 Forefront UAG Windows Server 2012
Administration simplifié pour les organisations de petites et moyennes tailles Non Non Oui
Configuration automatisé Non Non Oui
Nécessite une PKI interne Oui Oui Non
Brique NAT64 et DNS64 pour les ressources IPv4 Non Oui Oui
Support d'une carte réseau unique Non Non Oui
Support du NAT Non Non Oui
Nécéssite un DC 2008/2008R2 Oui Non Non
Nécéssite un DNS 2008/2008R2 Oui Non Non
Support du load balancing Non Oui Oui
Tolérance de panne Limitée Oui Oui
Support du multi domaine AD Non Oui Oui
Intégration avec NAP Oui Oui Oui
Authentification par OTP (token) Non Oui Oui
Interopérabilité IP-HTTPS et amélioration des performances Non Non Oui
Scénario de gestion du parc Non Oui Oui
Géo-cluster Limité Limité Oui
Support du mode Serveur core Non Non Oui
Support des clients Windows 7 Oui Oui Oui
Support des clients Windows 8 ??? Limité Oui
Support du PowerShell Non Limité Oui
Monitoring clients et serveur Non Oui Oui
Diagnostics Non Non Oui
Accounting et reporting Non Limité Oui
Source : Windows Server 2012 DirectAccess: Microsoft DirectAccess Comparison Table par Jason Jones.

La solution Microsoft Forefront Protection 2010 for Exchange Server (FPE) est arrêtée à la date du 1er décembre 2012. Les infrastructures existantes seront bien entendu supportées jusqu'en 2015. Des fonctionnalités antimalwares et anti-spam seront disponibles dans la prochaine version d'Exchange. Pour une protection avancée, il sera possible de compléter avec l'offre Cloud de Microsoft. A ce titre, l'offre Forefront Protection for Exchange devient Exchange Online Protection enrichissant ainsi la gamme Office 365.

Les solutions Microsoft Forefront Protection 2010 for SharePoint 2010 et Forefront Security for Office Communication Servers sont elles aussi arrêtées. Microsoft va continuer à sécuriser les infrastructures SharePoint et Lync en utilisant des fonctionnalités natives des produits concernés.

Ainsi, les protections antimalwares seront désormais intégrées directement dans les solutions produits au lieu d'être dédiés. Cela facilitera ainsi les infrastructures de messagerie, SharePoint et Lync sans composants additionnels, et sans licences supplémentaires.

Au-delà de la sécurité des infrastructures, c'est aujourd'hui la sécurité des informations dont il faut se soucier. Comme évoqué précédemment, nos utilisateurs accèdent à des informations, peuvent les partager voire même les communiquer à des tiers. Un utilisateur dument accrédité à une application de l'entreprise peut tout à fait accéder à des informations sensibles et les faire sortir de l'entreprise selon divers moyens (clé USB, plateforme d'échange de fichiers, messagerie, impression …). C'est typiquement ce type de scénario qu'une solution comme Active Directory Right Management Services est capable d'adresser. AD RMS s'intégrant à plusieurs types de plateformes collaborative (serveurs de fichiers, Espaces collaboratifs sous SharePoint, messagerie Exchange, …) et même Microsoft Office. RMS sécurise les données circulant au sein de l'entreprise ainsi qu'à l'extérieur auprès de nos partenaires afin d'éviter le vol d'informations. Ce produit est bien conservé, et est intégré à Windows Server 2012.

Enfin, Forefront Identity Manager reste maintenu. La version R2 est disponible depuis Juin 2012. Avec l'avènement du Cloud, la gestion des identités sort maintenant de l'entreprise. Au-delà de ses capacités de synchronisation de différentes sources d'annuaires, c'est la synchronisation avec des sources externes telles que l'offre Office 365 de Microsoft qu'il faut considérer. C'est une manière de s'assurer de la bonne gestion des licences consommées dans le Cloud.

Coécrit par GIRAUD Alexandre / SAUTIERE Benoît / LEPERLIER Lionel

3 commentaires:

  1. Hey Lionel,

    If you are going to use that table (pretty much unchanged) you should really provide a link to the original source ;)

    Cheers

    JJ

    RépondreSupprimer