Suite à l’annonce de l’arrêt du produit Forefront TMG (http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx), faisons un point sur les solutions Microsoft de proxy / firewall / accès distant. Les éléments importants à retenir sont :

  • Forefront TMG sera supporté par Microsoft jusqu’en 2020 (en support étendu, cf. http://support.microsoft.com/lifecycle/?c2=12300)
  • La roadmap de Forefront UAG reste inchangée – c’est depuis 4 ans et continue à être la passerelle de Microsoft. Le produit va donc notamment continuer à bénéficier de nouvelles fonctionnalités au travers de Service Packs et de futures versions ; pour la roadmap officielle, encore un peu de patience !
  • DirectAccess peut désormais être déployé (sans Forefront UAG) via le rôle « Remote Access » de Windows Server 2012

Quelle solution pour quel usage ?

Si vous utilisez Forefront TMG en tant que firewall, VPN site-à-site ou forward proxy web (filtrage d’URL, inspection), vous continuerez à bénéficier du support de Forefront TMG comme indiqué précédemment.

Pour un accès au réseau interne pour des employés en mobilité, la solution autrefois basée sur le couple Forefront UAG / DirectAccess est désormais à déployer de préférence avec Windows Server 2012. En effet, le nouveau rôle Remote Access dans Windows Server 2012 permet de mettre en œuvre DirectAccess ou un VPN, plus simplement et avec son lot d’améliorations.

Pour les autres besoins de mobilité, dans lesquels on souhaite publier des applications web à diverses populations, Forefront UAG reste la solution recommandée par Microsoft, en raison de ses services de sécurité applicative, de single sign on et surtout car nos équipes valident nos solutions exclusivement sur cette plateforme. Si vous utilisiez TMG pour publier des applications web de l’entreprise, vous pouvez envisager une migration vers Forefront UAG, plus adapté pour sur ce type de scénario et toujours maintenu.

 

Focus sur les bénéfices de Forefront UAG

Forefont UAG vous permet principalement de mettre à disposition de vos employés, partenaires et fournisseurs un portail d’accès aux applications internes que vous souhaitez partager. Les points forts de la solution sont :

  • Une publication simple et rapide via des assistants de vos applications web, avec une sécurité intégrée (couche applicative). En effet les applications Web sont depuis longtemps très complexes à publier (HTMLl, Javascript, Ajax), et nécessitent donc des moteurs spécifiques de publication (et non un simple reverse proxy) et de sécurité applicative (firewall applicatif, conformité, …).
  • Une intégration complète et unique sur le marché avec les solutions Microsoft telles Exchange et Sharepoint, grâce à la collaboration inter-équipes produits chez Microsoft
  • Son extensibilité (SSO aux applications, modification du contenu à la volée, définition de politiques de contrôle d’accès en fonction des clients, personnalisation des interfaces…). C’est particulièrement utile pour des scénarios de BYOD (Bring Your Own Device).
  • Sa simplicité de gestion : une console d’administration pour la configuration et une interface web pour le monitoring
  • Son interopérabilité avec les protocoles de fédération via AD FS : un prochain article décrira quelques scénarios possibles dans cette configuration d’avenir

François TACHOIRES - Consultant Sécurité.