Windows Server 2008 - Terminal Services Gateway

  • Article

Meu amigo Wagner Elias comenta o meu post sobre deperimetrização, e além de reforçar a justificativa de negócio aponta uma preocupação com a segurança dos dados neste novo modelo. Ele cita uma analogia scheneiriana onde antes os dados estavam em um cofre dentro de uma casa, e agora o cofre está no meio da rua. Traduzindo, ao tirar o perímetro perdemos uma camada de proteção.

Eu não discordo. Apenas acho que essa é uma conseqüência inevitável da comoditização dos serviços de rede. As empresas vão ser na prática "forçadas" a adotar uma estratégia de segurança que proteja os seus computadores ("hosts") independente da rede onde eles estiverem, simplesmente porque os benefícios de negócio são grandes o suficiente e tendem a ser cada vez maiores.

O mesmo vai acontecer quando eventualmente os próprios hosts se comoditizarem, e a estratégia de segurança vai ter que se focar no que realmente importa que é o dado, e protegê-lo independente do host onde ele está sendo trabalhado. Isso ainda parece ser um futuro remoto, apesar de já existirem coisas bem interessantes aparecendo que apontam para essa direção.

Mas vamos lá. Dentro de uma arquitetura com os clientes fora do perímetro, é perfeitamente possível manter alguns dados e aplicações mais sensíveis nos servidores dentro do perímetro. Os dados e as aplicações não necessitam ficar armazenadas no disco local dos clientes. Para isso o Windows Server 2008 introduz o recurso de Terminal Services Gateway, que permite que aplicações possam ser executadas em um servidor remoto e acessadas de qualquer lugar através de HTTP com SSL (HTTPS). Não existe necessidade de VPN e pode ser utilizado mecanismos de dois fatores usando smart cards para autenticar a conexão do usuário.

Alguém poderia dizer "ótimo, mas até agora de novidade você só está usando HTTPS para fazer com que a conexão ultrapasse firewalls". Certo, e para mim a grande melhoria que o Windows Server 2008 traz mesmo para este cenário é em relação a experiência do usuário. O Windows 2008 traz também o recurso de RemoteApp, que faz com que as aplicações rodando remotamente apareçam para o usuário como se fossem aplicações locais. O usuário clica no icone da aplicação no seu desktop, o sistema pede o smart card, e a janela da aplicação abre, como se estivesse rodando no próprio computador. A janela pode ser maximizada, minimizada, etc, e a aplicação pode se desejado acessar os dados locais e imprimir normalmente.

Eu tenho usado bastante este recurso na rede da Microsoft (meu notebook não entra dentro do perímetro há meses), rodando um Internet Explorer remotamente dentro do nosso servidor de terminais, e eu mesmo me confundo as vezes para saber qual é o IE que está rodando localmente e qual é o que está dentro da rede interna.

Não é dificil imaginar que várias empresas vão colocar algumas aplicações mais críticas rodando nos seu servidores de terminais dentro de um perímetro vigiado, como por exemlo aplicativos ERP, e disponibilizarem o acesso remoto via TS gateway para os clientes. Além do aspecto de segurança vai existir um ganho operacional na gerência de configuração e de patches destas aplicações. O inconveniente aqui é que a aplicação não pode ser acessada com o cliente offline, o que não seria tanto um problema em um futuro onde tivermos conectividade confiável em qualquer lugar.

O blog do time de Terminal Services tem uma tonelada de informações e links adicionais, e você pode já baixar o Beta 3 do Windows Server 2008 e testar estas funcionalidades.