För något år sedan lämnade Microsoft uppgifter till Gartner om att de inte längre ville vara med i deras marknadsundersökning rörande brandväggar eftersom den hade en osäker framtid. Uttalandet väckte stor oro och förvirring på marknaden eftersom företaget vägrade att utveckla resonemanget ytterligare.

Nu kommer det väntade uttalandet från Microsoft att produkten TMG verkligen försvinner. TMG kommer inte att vidareutvecklas och det kommer inte heller att gå att köpa TMG efter den 1 december i år. Fullskalig support kommer att vara tillgänglig till 2015 så de kunder som kör TMG idag har ganska god tid på sig att utvärdera sin strategi kring brandväggar.

Tillsammans med TMG försvinner också ett antal kringprodukter, som Forefront Protection 2010 for SharePoint (FPSP), Forefront Security for Office Communications Server (FSOCS) och Forefront Threat Management Gateway Web Protection Services (TMG WPS).

För VPN lösningar föreslår Microsoft att Direct Access och RRAS i Windows Server 2012 kan användas och UAG 2010 kan användas för att publicera applikationer för olika klienter på internet. För kunder som idag använder TMG för att filtrera och styra utgående webbtrafik och publicera interna servrar ges inget tydligt alternativ utan kunder får här helt enkelt välja att titta på andra leverantörers lösningar. Vi blir också ganska fundersamma här eftersom UAG inkluderar en installation av TMG (http://technet.microsoft.com/en-us/library/ee522953.aspx) och frågan är hur UAG kommer att byggas om när TMG nu försvinner?



Mikael Nyström, konsult på TrueSec

Microsoft lägger ner TMG, varför?

- Windows Server 2012 innehåller en ny Direct Access(DA) som i kombination med RRAS/VPN blir allt-i-ett. VPN, DA, Site-Site kräver numera heller ingen IPv6 på maskiner man ska komma åt.

Det som den inte har är portalen, men det behövs ju bara för klienter som är icke Microsoft eller kör XP, med tanke på att XP går ur tiden och att Microsoft i första hand fokuserar på "sina" kunder så blir helt enkelt ISA/UAG/TMG/IAG något från kalla krigets dagar.

Men, TMG säljs fortfarande och stöds fortfarande för kunder som behöver detta, men det blir ingen ny version. Då den i så fall hade kommit ut menar Microsoft att vi den tidpunkten finns inte behovet av en brandvägg i vilket fall som helst.

Men de som publicerar saker med TMG idag, hur ska de tänka?

- Med DA behövs ju ingen publicering. Nya Exchange och Sharepoint får ju t.ex. inbyggt antivirus. Hela iden om publicering försvinner också mer och mer. Den finns fortfarande kvar ett tag till men på sikt menar Microsoft att ska det publiceras för andra än "egna" användare så står det inte på kontoret längre utan man använder en säker extern molntjänst för det istället.
Microsoft säger heller inget om anledningen till att TMG försvinner annat än ett ganska vagt uttalande i en TechNet-artikel om att man strävar efter att placera skydd för produkter tillsammans med den produkt som skyddas.

Ett exempel på detta är Exchange 2013 som får ett eget inbyggt antivirus och man förväntas troligen placera en Exchange 2013 CAS direkt på Internet eller eventuellt bakom en brandvägg från annan leverantör. För publicering av applikationer kan fortfarande UAG användas och den produkten fortsätter att utvecklas.

I takt med att Microsoft förstärker sina molnprodukter som t.ex. Office 365 och Windows Azure är det möjligt att företaget ser en framtid där traditionell publicering av interna tjänster inte längre är aktuell utan de flesta tjänster som ska konsumeras externt förväntas finnas som en molntjänst som säkerställs på andra sätt.

Kanske kommer Microsofts beslut att leda till en bredare debatt kring brandväggars existensberättigande i en framtid där molntjänster och publika nätverk är vardag? Det kan vara en intressant tankeövning att fundera över hur ditt nät skulle se ut utan en brandvägg?

Microsoft har erbjudits kommentar men väljer att avböja.

För mer information, se http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx