TMG geht, ADC kommt Wie Application Delivery Controllers (ADCs) die Absicherung von Exchange und SharePoint in einer Welt ohne TMG übernehmen können White Paper Barracuda Networks • TMG geht, ADC kommt Nachdem Microsoft TMG abgekündigt hat, suchen viele Unternehmen nach einer Alternative, um ihre Exchange und SharePoint Server sicher zu veröffentlichen. In vielen Fällen wird ein Application Delivery Controller (ADC) der passende Ersatz sein. Das Paper beschreibt die Grundfunktionen von ADCs, wie sie die Bereitstellung von Exchange und SharePoint unterstützen können und was bei der Auswahl eines ADCs zu beachten ist. RELEASE 1 Inhalt TMG: Erfolgsstory mit unerwartetem Ende 3 Exchange und SharePoint: Unternehmen öffne dich 3 Was TMG ausmacht(e) 4 TMG ade – und jetzt? 4 Was ist ein ADC? 5 Sicherheitspuffer: Anwendungsbereitstellung für Microsoft Exchange 6 Schnelles Setup: Anwendungsbereitstellung für Microsoft SharePoint 8 ADC – die richtige Wahl treffen 10 Exchange und SharePoint vertrauensvoll nutzen – ein Fazit 10 Über Barracuda Load Balancer ADC 11 Seite 2 von 11 Barracuda Networks • TMG geht, ADC kommt TMG: Erfolgsstory mit unerwartetem Ende Diese Nachricht von Microsoft bedeutete für viele Anwender einen Schock: Es wird keine neuen Versionen des Forefront Threat Management Gateway (TMG) von Microsoft geben. Seit Dezember 2012 ist die Software nicht mehr verfügbar, der Support endet am 14. April 2015. Für viele Administratoren und Dienstleister war das weit verbreitete Produkt, früher bekannt unter dem Namen ISA Server (Internet Security and Acceleration), ein wichtiger Baustein ihrer IT-Sicherheitsarchitektur. Seit der Version ISA Server 2004 ermöglichte die Software Unternehmen, interne Server über das Internet zugänglich zu machen. Als Application Firewall und Reverse Proxy wurde es die Standardlösung zur Bereitstellung und Absicherung von Exchange und SharePoint. Die Ankündigung von Microsoft TMG einzustellen, hat für seine User weitreichende Konsquenzen: TMG wird ihren vorhandenen Exchange- und SharePoint-Umgebungen keinen langfristigen Schutz mehr bieten. Viele Organisationen suchen daher nach Alternativen, die eine fortlaufende Sicherheit und Leistung ihrer vorhandenen Umgebungen gewährleisten. Exchange und SharePoint: Unternehmen öffne dich Die wenigsten Unternehmen nutzen heute Exchange oder SharePoint ausschließlich intern. Beide Lösungen sind darauf ausgerichtet, Unternehmen agiler, mobiler und transparenter agieren zu lassen und dazu gehört der Zugriff von außerhalb des Netzwerks. Aber der Wunsch, die Lösungen reif für den Fernzugriff über das Web, über mobile Geräte und verschiedenste Endgeräte zu machen, erfordert einen umfassenden Ansatz der Applikationssicherheit. Gerade kleinere Unternehmen fühlen sich oft überfordert von den zahlreichen Protokollen, Verbindungsmechanismen, Implementationen und Authentifizierungsmethoden. Daher kommt es nicht selten vor, dass sie einfach Port 443 öffnen. Damit tappen sie in eine Falle. Denn die Zeit, die sie sich vorab auf diese Weise sparen, zahlen sie zehnfach zurück, wenn das Netzwerk attackiert wird und die Sicherheit vertraulicher und personenbezogener Daten sowie die Verfügbarkeit ihrer ITInfrastruktur auf dem Spiel steht. Die Veröffentlichung von Exchange und SharePoint macht Unternehmen produktiver. Aber wenn Daten die Unternehmensgrenzen passieren, braucht es eine Kontrollinstanz, die prüft und sicherstellt, dass nur Berechtigte Zugriff auf die Unternehmensressourcen bekommen und dass aus dem Zugriff keine Gefährdung für sensible Daten und das Netzwerk entstehen. Seite 3 von 11 Barracuda Networks • TMG geht, ADC kommt Was TMG ausmacht(e) Genau diese Funktionen hat Microsoft in der Vergangenheit mit Forefront TMG auf eine Weise angeboten, die nicht nur relativ kostengünstig war, sondern vor allem leicht zu verwalten. TMG ist sehr oft im Einsatz, um als Reverse Proxy unternehmenseigene HTTP/S-basierte Services im Internet zu veröffentlichen. TMG wird nicht zuletzt eingesetzt, um Exchange-Dienste (Outlook Web Access, RPC over http, ActiveSync, Outlook Mobile Access) bei der Bereitstellung über das Internet abzusichern. Mit dem Erfolg von SharePoint ist es auch zur Absicherung dieser Lösung zum Quasi-Standard geworden. Dank Assistenten war TMG für beide Lösungen einfach zu konfigurieren. Zu den Kernfunktionen gehören einerseits die Performance-Verbesserung der Anwendungen und andererseits die Sicherheit. TMG übernimmt unter anderem Authentifizierung, SSL Offloading und Load Balancing. Dadurch haben die Applikations-Server mehr Performance für ihre Kernaufgaben. Die Sicherheitsfeatures verhindern die Ausnutzung von Schwachstellen in den Microsoft-Lösungen und analysieren den Datenverkehr auf Malware-Prüfung in der DMZ. Im Ergebnis können Administratoren damit einen sicheren Remote-Zugriff auf Exchange und SharePoint herstellen. TMG verfügt auch über andere Features, wie zum Beispiel Forward Proxy, VPN und Enterprise Firewall. Für jene Anwender, die TMG zur Veröffentlichung ihrer Exchange und SharePoint-Server nutzen, spielen diese jedoch keine Rolle. Für sie ist entscheidend, wie TMG bei der Verarbeitung der Mail-Dienste des Exchange Servers und der Informationsdienste des SharePoint-Servers seine Stärken voll ausgespielt hat: Anwender schätzen die Lösung für ihren zuverlässigen und unterbrechungsfreien Zugriff auf die Dienste und Server im Unternehmensnetz. TMG ade – und jetzt? TMG verabschiedet sich: Unternehmen, die heute vor der Herausforderung stehen, Exchange oder SharePoint Server zu publizieren, können TMG nicht mehr kaufen und viele andere müssen es mittelfristig ersetzen. Müssen sie das wirklich? Einzelne Microsoft-Vertreter deuteten an, Verbesserungen in Exchange machten die PreAuthentication zu einer Option, die man auch weglassen könnte. Doch auch wenn Applikationen sicherer werden, erhöht eine vorgelagerte Sicherheitsschicht den Schutz: Auch sicherere Autos benötigen immer noch geschulte Fahrer und nur Berechtigte sollen sich hinters Lenkrad setzen dürfen. Genauso brauchen durch Kameras gesicherte Fußballstadien nach wie vor Zutrittskontrollen. Gerade in einer Zeit, in der Cloud Computing und Mobility die Grenzpunkte der Unternehmens-IT zu verwischen drohen, ist eine vorgelagerte Lösung zum Schutz der IT-Infrastruktur unverzichtbar. Zum Beispiel verhindert die Pre-Authentication auf einem Reverse Proxy außerhalb des Exchange Servers, dass Denial of Service Attacken einen Exchange-Server lahmlegen. Auch mögliche Schwachstellen in Exchange, die heute noch niemandem bekannt sind, werden durch die externe Lösung abgesichert. Zudem nimmt diese Verlagerung Last vom Exchange Server, denn Authentifizierung kostet ihn Leistung. Noch weniger ist vorstellbar, dass eine größere Exchange-Umgebung ohne Load Balancing auskommt, oder der E-Mail-Datenverkehr nicht mehr auf Malware und Spam geprüft wird. TMG sorgt für den sicheren Zugriff unterschiedlichster Endgeräte und kontinuierliche Server Health Checks. Auch diese Funktionen sind für professionell betriebene Umgebungen unerlässlich. Seite 4 von 11 Barracuda Networks • TMG geht, ADC kommt Im Wesentlichen gibt es drei Möglichkeiten, TMG mit anderen Produkten zu ersetzen: 1. Microsoft UAG: Man bleibt dem Hersteller treu und steigt auf Microsoft Unified Access Gateway um. Es bietet ebenfalls Publishing Support für Exchange 2013 und SharePoint 2013. 2. Man verwendet eine vollwertige Next Generation Firewall oder UTM-Lösung als Ersatz. 3. Man nutzt einen Application Delivery Controller (ADC). Die ersten beiden Varianten haben den Vorteil, dass die Lösungen einen erheblich größeren Funktionsumfang als TMG haben. Der Nachteil ist, dass sie entsprechend teurer, komplexer und schwerer zu implementieren und zu verwalten sind. Sofern die Lösungen bereits im Unternehmen vorhanden sind, lohnt es sich, zu prüfen, ob sie die Aufgaben von TMG übernehmen können. Das Gleiche gilt für Anwender, die TMG auch als VPN Gateway oder Enterprise Firewall genutzt haben. Wer dagegen aus technischen oder organisatorischen Gründen eine leicht zu implementierenden Lösung für das Publishing von Exchange und SharePoint sucht, landet bei der Suche nach einem Ersatz fast zwangsläufig bei ADCs. Was ist ein ADC? Application Delivery Controllers sind eine Weiterentwicklung von Load Balancers und werden in der Regel als physische oder virtuelle Appliance in der DMZ implementiert. ADCs sorgen für eine höhere Verfügbarkeit und Leistung von Anwendungen, erhöhen die Applikationssicherheit und geben dem Administrator zusätzliche Kontrollmöglichkeiten. Load Balancing und Traffic Management gehören immer noch zu den wichtigsten Features. Die effiziente Verteilung des Traffics auf die verschiedenen Server findet heute jedoch nicht nur mittels der Daten auf der Transportschicht (Layer 4), sondern auch mit Blick auf die Anwendungsschicht (Layer 7) statt. Das heißt, der ADC kontrolliert zum Beispiel SMTP und http, um sicherzustellen, dass die Lasten für die Dienste wirklich verteilt werden. Genauso prüft er die Verfügbarkeit von Servern nicht mehr nur per Ping, sondern ermittelt, ob die Applikationen wie erwartet laufen. Wenn ein Server oder eine Applikation ausfällt, wird er aus dem Server Pool entfernt und der Datenverkehr über die übrigen Server verteilt. Dies ist auch über weit entfernte Standorte hinweg möglich. Eine Beschleunigung der Applikationen erreichen ADCs durch Caching und Kompression, aber vor allem, indem sie die Applikationen von bestimmten Aufgaben entlasten. Zu den wichtigsten Features für die Beschleunigung zählt das SSLOffloading. Damit terminiert der ADC die SSL-Verbindung selbst, statt sie an den Applikations-Server weiter zu geben. Das gleiche gilt für die Authentifizierung. ADCs machen also weit mehr als Load Balancing. Sie schirmen Schwachstellen ab, übernehmen Prozesse für die Server ab und cachen Inhalte für eine höhere Applikationsleistung sowie bessere Benutzererfahrung. Die neueste Generation bietet zudem auch Sicherheitsfeatures wie Antivirus, Web Application Firewalling, Application Layer Security und Data Loss Prevention. Damit können ADCs alle Funktionen abdecken, die Server-Administratoren an TMG schätzen. Seite 5 von 11 Barracuda Networks • TMG geht, ADC kommt Sicherheitspuffer: Anwendungsbereitstellung für Microsoft Exchange Ein ADC bietet in der Funktion als Reverse Proxy eine entscheidende Sicherheitsebene für das Exchange-Publishing. Er segmentiert den externen Zugriff von den internen Ressourcen. Damit bildet er einen Sicherheitspuffer, der die Exchange Server vor Application- und Netzwerkbedrohungen schützt. Ein ADC für das Exchange-Publishing kann • schnellen E-Mail-Zugriff ermöglichen, unabhängig davon, welche Geräte die Anwender nutzen. • die IT-Infrastruktur vor Attacken, Exploits und Schwachstellen schützen. • sicherstellen, dass nur autorisierte (authentifizierte) User auf die Unternehmensressourcen über Exchange und Outlook zugreifen können. • die Integrität des Datenverkehrs sicherstellen, indem die Verbindungen zwischen dem ADC, dem Server und dem Client verschlüsselt werden. • vollen E-Mail Schutz bieten, u.a. durch Deep Content Inspection, SSL-Verschlüsselung, Untersuchung auf ausführbare Programme, Protokoll-Validierung und integrierten Antivirus. • für Lastenausgleich innerhalb eines Rechenzentrums oder zwischen verschiedenen Rechenzentrumsstandorten sorgen. • alle Funktionen einer Web Application Firewall bieten und damit vor den typischen OWASP Top Ten Gefahren schützen. • Single-Sign-On für die Microsoft Anwendungen ermöglichen. • als Reverse Proxy den Zugriff über das Internet auf Unternehmensressourcen regeln. • die Authentifizierung übernehmen. • die IT-Administrationskosten senken. Barracuda-Lösung für sicheres Messaging 1. Exchange Load Balancing 2. OWA WAF-Sicherheit 3. ActiveSync-Sicherheit 4. Anti-Malware 5. Reverse Proxy/ AAA Pre-Authentication Exchange Activesync Internet Outlook Überall CAS-Postfach Server Seite 6 von 11 Barracuda Networks • TMG geht, ADC kommt ÜBERBLICK: FUNKTIONEN VON ADCS FÜR EXCHANGE SERVER Sichere Anwendungsbereitstellung von Exchange-Servern ADCs können Load Balancing, SessionManagement und Funktionstests für Server bieten. Dies ermöglicht eine robuste Skalierbarkeit und hohe Verfügbarkeit für Exchange. Als Reverse-Proxy bieten sie zudem eine zusätzliche Sicherheitsebene. Alle Anfragen werden terminiert und untersucht, bevor sie an die Backend-Server gesendet werden. Sicherer Outlook Web Access (OWA) Manche ADCs besitzen vorbereitete, speziell für OWA ausgelegte Templates. So können Organisationen vielen Angriffen auf die Exchange-Infrastruktur eine leistungsstarke Plug-and-Play-Security entgegensetzen, darunter SQL Injections (SQLi), Cross Site Scripting (XSS), OWASP Top 10-Angriffe und DDoS. Sicheres ActiveSync Manche ADCs bieten sicheren ActiveSyncZugriff. Dies ermöglicht sicheres SessionManagement und Zugriffskontrolle auf der Grundlage von Gerät und Browsertyp. Zusätzliche Funktionen, wie DDoS- und Brute-ForceSchutz, garantieren die Verfügbarkeit auch bei Angriffen, die auf hohen Datenraten basieren. Pre-Authentication Spezielle ADCs bieten die Möglichkeit, Benutzer und Geräte mithilfe diverser Authentifizierungsverfahren wie Active Directory, LDAP und RADIUS zu authentifizieren. So können Administratoren den Authentifizierungsprozess aus ihren Exchange-Infrastrukturen auslagern und für ihre Microsoft-Anwendungen Single Sign-On (SSO) anbieten. SSL-Offloading ADCs mit Hochleistungshardware entlasten den Exchange Server, indem Sie den durch SSL gesicherten Datenverkehr verschlüsseln bzw. entschlüsseln. Seite 7 von 11 Barracuda Networks • TMG geht, ADC kommt Schnelles Setup: Anwendungsbereitstellung für Microsoft SharePoint Etwas anders stellen sich die Herausforderungen für ADCs bei der Anwendungsbereitstellung von SharePoint dar. Hier wird die Verbindung in der Regel von den Clients initialisiert. Die Server verarbeiten die hereinkommenden Anfragen und antworten darauf. Aus der Entwicklungsperspektive stellt bei SharePoint besonders die nicht standardgemäße Verwendung von HTTPRequest-Headern mit Steuerzeichen und Webbefehlen eine Herausforderung für Application-Delivery-Plattformen dar. Dementsprechend war für eine sichere Veröffentlichung von SharePoint in der Vergangenheit eine intensive Anpassung der Veröffentlichungsregeln und -ausnahmen erforderlich. Mit einem geeigneten Application Delivery Controller entfällt jedoch die Notwendigkeit, unzählige Stunden mit dem Setup zu verbringen. Auf SharePoint spezialisierte ADCs bieten von Hause aus diverse Funktionen für Load Balancing, Beschleunigung und Absicherung von SharePoint. Auch bei der Nutzung mit SharePoint zahlen sich viele zuvor bereits erwähnte Fähigkeiten von ADCs aus, so zum Beispiel die Authentifizierung, der schneller Zugriff unabhängig vom Endgerät, die Ver- und Entschlüsselung, die Deep Content Inspection, das Load Balancing oder das Single-Sign-On. Darüber hinaus kann ein ADC für weitere Verbesserungen sorgen durch: • Web Application Firewalling: Umfassender Schutz vor Angriffen aus dem Internet. • URL Rewrite: Unternehmen können veröffentlichte SharePointSeiten auf einfache Weise umbenennen - zum Beispiel so, dass sie in eine Marketing-Aktion passen oder leichter zu merken sind. • Data Loss Prevention: Administratoren können Datenformate bestimmen, die das Unternehmen nicht verlassen dürfen, beispielsweise Kreditkarteninformationen. Clients Externes Netzwerk Barracuda-Lösung für SharePoint 1. URL Rewrite 2. AAA Preauth 3. Load Balancing Internes Netzwerk Domain Controller SharePoint Farm SQL Server Seite 8 von 11 Barracuda Networks • TMG geht, ADC kommt ÜBERBLICK: FUNKTIONEN VON ADCS FÜR SHAREPOINT SERVER Load Balancing Für mittlere und große SharePoint-Umgebungen schlägt Microsoft die Verwendung eines Load Balancers vor, um die Web-Ebene redundant bereitzustellen. Ein ADC bietet Load BalancingFunktionen für die effiziente Verteilung von Client-Anfragen und die Erhaltung der Client-Affinität über die SharePoint Web Front End- (WFE-)Server hinweg. Darüber hinaus verbessert die Serverüberwachung die Verfügbarkeit, indem sichergestellt wird, dass Server nicht nur erreichbar, sondern auch wirklich in der Lage sind, Content auszuliefern. URL Rewrite/Translation Über die Management-Webkonsole mancher ADCPlattformen können Administratoren SharePointURLs mit wenigen Mausklicks umschreiben (Rewrite). Dadurch lässt sich für Organisationen sowohl die interne als auch die externe Navigation vereinfachen und die Anpassung externer URLs im Hinblick auf Marketingkampagnen, Branding- oder andere Unternehmensanforderungen ermöglichen. SSL-Offloading ADCs mit Hochleistungshardware können SharePoint-WFE-Servern von CPU-intensiven Transaktionen entlasten, indem sie den SSLDatenverkehr verschlüsseln bzw. entschlüsseln. Web-ApplicationFirewalling Die zunehmende Verwendung von Microsoft SharePoint zur Speicherung sensibler Unternehmensdaten sowie der steigende Zugriff und die Zusammenarbeit mit Partnern, Kunden und Lieferanten zwingen Organisationen zum Einsatz von Sicherheitslösungen, die ihre Daten schützen. Manche ADCs enthalten fertige, speziell für SharePoint optimierte Security Templates, die die SharePoint-Server vor SQL Injections und anderen häufigen Angriffen aus dem Internet schützen. Pre-Authentication Geeignete ADCs bieten die Möglichkeit, Benutzer oder Geräte mithilfe diverser Authentifizierungsverfahren, wie Active Directory, LDAP und RADIUS zu authentifizieren. So können Administratoren den Authentifizierungsprozess auslagern und für ihre Microsoft-Anwendungen Single Sign-On (SSO) anbieten. Seite 9 von 11 Barracuda Networks • TMG geht, ADC kommt ADC – die richtige Wahl treffen Wer eine Alternative oder einen Nachfolger zu TMG sucht, um Exchange- und SharePoint-Server über das Internet zugänglich zu machen, zu beschleunigen und abzusichern, ist mit einem ADC gut beraten. Doch welches der Angebote soll man nutzen? Neben den genannten Punkten können die folgenden Kriterien bei der Entscheidung für einen ADC helfen: • Vorgefertigte Application Templates für die schnelle Implementierung von Exchange und SharePoint • Skalierungsmöglichkeiten und Hochverfügbarkeits-Implementierungen • Erfahrung des Herstellers mit Sicherheitstechnologien für Unternehmen • Unterstützung möglichst vieler Authentifizierungsverfahren • Übersichtliche Management-Konsole und Integrationsmöglichkeit in andere Management-Oberflächen • Schneller, kompetenter und unkomplizierter Support • Zertifizierung durch Microsoft als Hardware-basierte Load Balancing- und Application Delivery-Lösung Exchange und SharePoint vertrauensvoll nutzen – ein Fazit Mit der Abkündigung von TMG stehen viele für Exchange und SharePoint Server verantwortliche Administratoren vor der Herausforderung, eine Lösung zu finden, die alle dafür relevanten Funktionen von TMG abdecken kann. Wer nach einer kosteneffizienten Lösung sucht, die einfach zu implementieren und zu verwalten ist, sollte sich Application Delivery Controllers anschauen. ADCs bieten vielen Unternehmen einen robusten und einfach zu implementierenden Ersatz für TMG. So können sie die Produktivitäts-Features von Exchange und SharePoint auch in Zukunft mit Vertrauen nutzen. Seite 10 von 11 Barracuda Networks • TMG geht, ADC kommt Über Barracuda Load Balancer ADC Barracuda bietet mit seinem Application Delivery Controller eine Hochleistungsplattform speziell für Rechenzentren mit hohem Datenverkehr an. Sie kombiniert Anwendungsbeschleunigung, Verfügbarkeit und erweiterte Sicherheitseinstellungen mit robusten Server-Load-Balancing-Funktionalitäten. Der Barracuda Load Balancer ADC schützt sowohl vor Angriffen auf das Netzwerk als auch auf den Application-Layer, einschließlich der Top-10-Angriffe der OWASP wie beispielsweise SQL Injection, Sabotage-Cookies oder Session-Hijacking, ohne die Performance des Systems zu beeinflussen. Er wird weltweit in Tausenden von Organisationen eingesetzt. Die bewährte und zuverlässige Lösung managt und sichert täglich Milliarden von Anwendungstransaktionen. Sie ist als eine MultiportPlattform für Glasfaser- und Kupfer-Netzwerke und als virtuelle Appliance verfügbar. Umfangreiche Zertifizierungen, Templates und Installationsanleitungen für weit verbreitete Applikationen wie Microsoft Exchange, Microsoft SharePoint, Oracle Anwendungen, Webserver und virtuelle Server sind enthalten. Barracuda Load Balancer ADC ist von Microsoft als empfohlene Hardware Load Balancing- und Application Delivery-Lösungen zertifiziert. Weitere Informationen sind erhältlich unter http://www.barracuda.com/adc. Weiterführende Informationen wie Barracuda Microsoft Exchange und SharePoint-Investitionen schützt und beschleunigt, stehen unter http://www.barracuda.com/tmg zur Verfügung. About Barracuda Networks, Inc. Barracuda Networks schützt bereits jetzt die Benutzer, Anwendungen und Daten in weltweit mehr als 150.000 Organisationen und hat sich dabei einen hervorragenden Ruf als Anlaufstelle für leistungsstarke, benutzerfreundliche und erschwingliche IT-Lösungen erarbeitet. Das bewährte Geschäftsmodell des Unternehmens, in dessen Mittelpunkt stets der Kunde steht, konzentriert sich auf die Bereitstellung hochwertiger IT-Lösungen auf Abonnementbasis in den Bereichen Sicherheit und Datenschutz. Weitere Informationen finden Sie unter barracuda.com. Barracuda Networks und das Barracuda Networks-Logo sind eingetragene Marken von Barracuda Networks, Inc. in den USA. Alle anderen Namen sind Eigentum der jeweiligen Rechteinhaber. Barracuda Networks AG Radlkoferstr. 2 81373 München Deutschland t: +49 (0)69 899 14 729 e:[email protected] w: barracuda.com