Transcription
TMG ReplacementGuideWechseln Sie ganz einfach von Microsofts Forefront ThreatManagement Gateway zum Sophos Unified Threat ManagementAutoren:Chris McCormack, Senior Product Marketing ManagerAngelo Comazzetto, UTM Product ManagerIn einer Zeit, in der Hacker und Cyberkriminelle so aktiv sind wie nie zuvor, hatMicrosoft beschlossen, sein Forefront Threat Management Gateway (TMG)einzustellen. Auf dem Markt sind viele Firewall-Lösungen erhältlich, die angeblicheine adäquate Alternative darstellen. Sie sollten diese Lösungen und ihre jeweiligenFunktionen jedoch genau unter die Lupe nehmen, wenn Sie nach einem geeignetenErsatz für TMG suchen. In diesem Leitfaden stellen wir Ihnen zunächst dieHauptfunktionen von Microsoft TMG vor. Anschließend zeigen wir Ihnen, wie Sieganz einfach von Microsoft TMG zu Sophos Unified Threat Management (UTM)wechseln können und dadurch sogar einen noch besseren Netzwerkschutz erhaltenals vorher.Sophos White Paper Juli 2013
TMG Replacement GuideEinfache Lizenzierung und BereitstellungIm 58-Seiten-umfassenden Lizenzierungshandbuch von Microsoft für Windows Serverund Forefront-Produkte wird erklärt, dass TMG als Teil von mindestens 11 verschiedenenProgrammen lizenziert wird. TMG wird als natives 64-Bit-Software-Produkt für WindowsServer 2008 angeboten. Die Bereitstellung ist möglich auf Hardware oder auf virtuellenMaschinen, wobei der Trend deutlich in Richtung Virtualisierung geht.Nur wenn Sie die verschiedenen Lizenzierungsmodelle und Bereitstellungsoptionenkennen, können Sie sinnvoll entscheiden, welche Lösungen sich als Nachfolgeproduktfür TMG eignen. Prüfen Sie genau, welche Produkte Sie benötigen, um TMG effektiv zuersetzen. Denn die einzelnen Lösungen unterscheiden sich in den Bereitstellungsoptionenund den verfügbaren Funktionen bei verschiedenen Modellen. Einige Anbieter versuchen,die Verkaufszahlen ihrer teuren Firewall-Lösungen anzukurbeln, indem sie erweiterteFunktionen nur in diesen teuren Lösungen anbieten. Außerdem ist bei einigen Anbietern dieBereitstellung nur als Hardware oder Software möglich, oder es gibt nur eingeschränktenoder gar keinen Support für Hyper-V. Wenn Sie sich für eine neue Lösung entscheiden,sollten Sie sichergehen, dass diese nicht nur Ihren heutigen Anforderungen gerecht wird,sondern auch in Zukunft Ihre Anforderungen erfüllen kann.Das oberste Ziel bei Sophos ist es, Sicherheitslösungen so einfach wie möglich zu gestalten– vom Kauf über die Bereitstellung bis hin zur Verwaltung. Sie wählen einfach das Modell,das die für Ihre Netzwerkgröße erforderliche Leistung erbringt: Danach müssen Sie nurnoch Ihre FullGuard-Lizenz aktivieren und erhalten damit alle Schutzoptionen, die Siebenötigen – mit einer einzigen Lizenz.„Sophos UTMersetzt TMGnicht nur, sondernbietet zahlreicheneue Vorteile,mit denen Sie dieSicherheit IhresUnternehmenserhöhen können.“1Sophos UTM ist in der IT-Sicherheitsbranche einzigartig: Überzeugen Sie sich selbst.Von allen derzeit erhältlichen Produkten bietet Ihnen Sophos UTM die meistenBereitstellungsoptionen. Sie können für die Bereitstellung aus unserem umfangreichenAngebot dedizierter Security Appliances wählen. Alternativ können Sie Sophos UTM auchauf Ihrer eigenen Hardware bereitstellen, z. B. auf dem Server, den Sie schon für MicrosoftTMG verwendet haben.Wenn Sie Ihre TMG-Hardware jetzt noch nicht anderweitig verwenden möchten, können SieSophos UTM zunächst auf einer beliebigen virtuellen Plattform (z. B. Microsoft Hyper-V)ausführen. Auch mit dieser Option können Sie alle Funktionen der UTM uneingeschränktnutzen. Sophos UTMs lassen sich außerdem problemlos in der Virtual Private Cloud vonAmazon bereitstellen. So können Sie den Wechsel zu einer virtuellen Appliance in Ihremeigenen Tempo nach und nach vornehmen und müssen sich nicht direkt für eine kompletteUmstellung entscheiden. Unser interaktiver Assistent ist dem TMG-Assistenten sehrähnlich und macht die Erstkonfiguration zum Kinderspiel.Wählen Sie die Art der BereitstellungHardwareVirtuellSoftwareZur Verfügung steht eine Vielzahlan Hardware-Appliance-Modellen.Alle Funktionen sind in allenModellen verfügbar. So ist für jedesUnternehmen das passende Modelldabei.Sophos UTMs sind in virtuellenMicrosoft Hyper-V-, KVM-, VMwareund Citrix-Umgebungen einsetzbar,so dass sich Ihre Investitionen indie Virtualisierung bestens bezahltmachen.Die Sophos UTM ist auch alsSoftware-Appliance erhältlich.Diese kann ganz einfach auf demServer installiert werden, den Siemomentan für TMG nutzen. Somitfallen keine zusätzlichen Kosten fürneue Hardware an.Sophos White Paper Juli 2013CloudÜber Amazon Virtual Private Cloud(VPC) lässt sich die Appliance auchin der Cloud betreiben. Alternativkönnen Sie den Amazon VPCConnector auf der UTM verwendenund darüber sicher und zuverlässigauf Ihre Amazon-gehostetenRessourcen zugreifen.1
TMG Replacement GuideSichere Firewall, intuitive VerwaltungDas Herzstück jeder sicheren Gateway-Lösung ist die Firewall. Diese war eine der Hauptstärken von TMG.Bei der Wahl eines neuen Anbieters sollten Sie sicherstellen, dass Sie eine bewährte, zuverlässige Lösungerhalten, die von einer robusten Netzwerksicherheitstechnik unterstützt wird. Ebenfalls darauf achten solltenSie, dass die neue Lösung genauso einfach zu verwalten ist wie TMG – oder sogar noch einfacher. Geben Siesich nicht mit umständlichen Verwaltungskonsolen zufrieden, bei denen Sie jedes Mal ins Handbuch schauenmüssen, wenn Sie eine Änderung vornehmen möchten.Wie Sie bei TMG vielleicht festgestellt haben, sind nach einiger Zeit Tausende von Regeln vorhanden, mitdenen es schwierig ist, die Konfiguration zu überprüfen und Ihr System zu sichern. Mit der Sophos UTMmachen Sie dem Regel-Wirrwarr schnell und elegant ein Ende. Unsere UTM verfügt über eine objektbasierteBenutzeroberfläche, auf der Sie für alle Bereiche der Installation ganz einfach Änderungen vornehmenkönnen. Sie können Regelgruppen bilden, die mehrere Quellen und Ziele haben. Außerdem können Sie Regelnerstellen, die sich an veränderliche Netzwerkbedingungen anpassen lassen, damit Sie sicher sein können, dassIhre Konnektivität weiterhin gegeben ist. So benötigen Sie insgesamt wesentlich weniger Regeln und könnendiese viel leichter verwalten.Getreu unserem Wahlspruch „Security made simple – Sicherheit leicht gemacht“ konzentrieren wir uns stetsdarauf, Sicherheit einfacher zu gestalten, ohne dabei Abstriche bei Funktionen oder Flexibilität zu machen. Mituns steht Ihnen ein erfahrener Anbieter zur Seite, der seit 25 Jahren Sicherheitslösungen für Unternehmenentwickelt. Die Sophos UTM Firewall ist nicht nur leistungsstark, sondern bietet darüber hinaus zahlreicheKonfigurationsoptionen und eine intuitive Verwaltung.Die Handhabung der Sophos UTM Firewall-Regeln ist für TMG-Administratoren kein Problem. Mit der praktischenobjektbasierten Benutzeroberfläche lassen sich die Regeln noch einfacher verwalten.Sophos White Paper Juli 20132
TMG Replacement GuideStarke Leistung, umfangreicher SchutzTMG bietet eine Reihe von Optionen für die IPS-, Web- und Protokollfilter. Die IPS-Optionenvon TMG decken eine Vielzahl gängiger Angriffe ab, die Web-Malware-Filter scannen denInternet-Verkehr auf bekannte Viren- und Malware-Signaturen. Gelegentliche Updates gibtes je nach Bedarf. Auf diese Weise arbeiten die meisten gängigen Sicherheitslösungen. Leiderist diese Strategie aber oft nicht geeignet gegen Bedrohungen, die Verschleierungstechnikenund Polymorphismen nutzen und diese bei jedem Vorfall bzw. jeder Anfrage ändern.Wenn Sie sich nach Alternativen für TMG umsehen, sollten Sie nicht nur auf die einfacheCheckliste der Filteroptionen achten, die Ihnen die Anbieter vorlegen. Erkundigen Sie sichstattdessen genau nach der Leistungsfähigkeit und dem Umfang der Scans, die durchgeführtwerden. Nutzen Sie den Wechsel als Chance, eine neue Lösung zu finden, die noch besser istals TMG und den Datenverkehr in Echtzeit mit Tausenden von Mustern abgleicht. Außerdemsollten Sie unbedingt in Erfahrung bringen, woher die Anbieter ihre Daten zu neuenBedrohungen erhalten und wie oft diese Daten aktualisiert werden.Sophos verfügt mit den SophosLabs über ein eigenes, weltweites Netzwerk von Expertenund kann daher eine Rund-um-die-Uhr-Bedrohungsanalyse bieten. Unsere Expertenüberwachen ununterbrochen IPS, schädliche Webseiten, Internet-Malware und Spam, liefernApp Control und vieles mehr und stellen kontinuierlich aktualisierte Daten zur Verfügung.Die SophosLabs verfolgen globale Ausgabemuster und aktualisieren Ihre UTM in Echtzeitüber die Cloud. So können Sie immer sicher sein, dass Ihr Netzwerkschutz auf dem neuestenStand ist – ganz automatisch, ohne dass Sie etwas tun müssen.Außerdem haben Sie mit einer Sophos UTM wesentlich mehr Möglichkeiten, Ihr Netzwerkgegen Bedrohungen abzuschirmen als mit TMG. So können Sie z. B. den Datenverkehr mitLändern blockieren, mit denen Sie nicht kommunizieren möchten. Auf diese Weise verringertsich Ihre Angriffsfläche deutlich.Der Web-Schutz, den TMG bietet, lässt sich mit einer Sophos UTM ganz einfach verbessern.Die Sophos UTM lässt sich direkt in Ihren bestehenden Active Directory-Server integrieren.Dadurch können Sie ohne Konvertierung oder Konfigurationsänderungen Richtlinien auf Ihrebestehenden Benutzer und Gruppen anwenden. Dank vollständigem Support für Single SignOn (SSO) sind Ihre Benutzer binnen weniger Minuten rundum geschützt.„Die Benutzeroberfläche (derSophos UTM)funktionierteinfach. In Bezugauf die Bedienerfreundlichkeitkönnte sie TMGsogar den Rangablaufen.“2Mit Sophos UTM können Sie Länder auswählen, für die Sie jeglichen Datenverkehr blockierenmöchten, und können so Ihre Angriffsfläche deutlich verringern.Sophos White Paper Juli 20133
TMG Replacement GuideBei Sophos UTM lassen sich wesentlich mehr unterschiedliche Berechtigungen einstellenals bei TMG. So können Sie den Schutz ganz individuell anpassen, beispielsweise bei der:ÌÌ Überwachung und Steuerung von Webanwendungen in Echtzeit. Schnelles Ändernvon Konfigurationen und Blockieren oder Einschränken von Datenverkehr mithilfedetaillierter Muster ist problemlos möglich. So können Sie z. B. den Facebook-Chatdeaktivieren, Facebook-Statusmeldungen aber weiterhin zulassen, oder den YouTubeDatenverkehr begrenzen.ÌÌ Verwaltung des Zugriffs auf Webseiten. Wählen Sie aus über 100 Kategorien, maximierenSie die Produktivität und kontrollieren Sie den Zugriff auf unangemessene Webseiten.ÌÌ Durchsetzung der Safe-Search-Funktionen großer Suchmaschinen ohne jeglicheÄnderung an Ihren Client-Browsern.Sophos UTM bietet über 100 Kategorien für die Zugriffskontrolle auf unangemesseneWebseiten.Sophos White Paper Juli 20134
TMG Replacement GuideErweitertes VPN für einfachen RemotezugriffMit TMG können Sie einfache Site-to-Site-VPN-Tunnel erstellen und die Verbindung vonRemotebenutzern über zwei herkömmliche Technologien (PPTP und IPSEC) ermöglichen.Nutzen Sie den Wechsel als Chance, weitaus einfachere und flexiblere VPN-Lösungen inBetracht zu ziehen, die heute zur Verfügung stehen.Sophos UTM bietet Ihnen eine umfassende Palette an Optionen, die all Ihre Anforderungenerfüllen. Damit verbinden Sie modernste Geräte von überall auf der Welt mit IhremNetzwerk. Site-to-Site-Verbindungen lassen sich ganz einfach mittels herkömmlichemIPSec oder über eine SSL-basierte Tunnel-Engine herstellen, die auch in Umgebungenfunktioniert, in denen IPSec blockiert ist. Darüber hinaus sorgt unser einzigartiges Layer2-VPN für eine enge Anbindung Ihrer Niederlassungen und ermöglicht die Kommunikationüber Dienste wie DHCP – eine Option, die bei TMG nicht vorhanden ist.Remotebenutzer können sich über integrierte Clients auf ihren mobilen Geräten anmelden.Zudem haben sie bei der Verbindung ihrer Windows-, Mac- und Linux-Laptops die Wahlzwischen fünf verschiedenen Technologien – darunter befindet sich auch ein vollständigbrowserbasiertes HTML5-VPN, das gar keinen Client benötigt. Sophos bietet darüber hinauszahlreiche leistungsstarke VPN-Tools, die sich leicht verwalten lassen.„Sophos UTMunterstützt sogut wie jedeVPN-Technologie,die es heute aufdem Markt gibt Eine einfachereMöglichkeit fürdie Konfigurationvon Site-to-SiteVerbindungenhabe ich bishernicht gesehen.Hut ab für dieseLeistung vonSophos!“2Site-to-Site-Verbindungen lassen sich ganz einfach über herkömmliches IPSec oder über eineSSL-basierte Tunnel-Engine herstellen.Sophos White Paper Juli 20135
TMG Replacement GuideWeb Application Firewall und Robust ReverseProxyUnverzichtbare Schlüsselkomponenten von TMG sind Reverse-Proxy- und Web ApplicationFirewall-Funktionen, die Ihre nach außen gerichteten Server und Ressourcen vor Angriffenschützen. Ersatzlösungen für TMG müssen Ihren Remotebenutzern ermöglichen, mitwichtigen Unternehmensressourcen wie Exchange oder SharePoint zu kommunizieren.Außerdem müssen Funktionen wie SSL-Verschiebung und Sicherheitsfunktionen fürDatenbankfelder, Formulare und Cookies verfügbar sein.Sophos UTM ersetzt den Reverse-Proxy von TMG und ermöglicht Ihnen, mehrereSchutzschichten um Ihre Webserver-Anwendungen zu legen, damit diese vor Hackern undanderen Bedrohungen geschützt sind. Unsere Web Server Security bietet Virenscans undunterbindet SQL-Injection- sowie Cross-Site-Scripting-Angriffe, so dass Sie kein Experte imBereich Datenbank- und Server-Härtung sein müssen, um sich effektiv zu schützen.Selbstverständlich können Ihre Clients über Outlook Anywhere mit Servern kommunizieren,und es ist problemlos möglich, die Anmeldeseite für Outlook Web Access nur für sicherverbundene Clients verfügbar zu machen. Der Reverse-Proxy ist außerdem mit Funktionenzur SSL-Verschiebung, einem Pfadsystem für dynamisches Whitelisting namens URLHardening sowie mit Sicherheitsfunktionen für Cookies und Formulare ausgestattet.Sophos UTM beinhaltet einen stabilen Reverse-Proxy zum Schutz Ihrer Server vor Angriffenund schädlichem Verhalten.Sophos White Paper Juli 20136
TMG Replacement GuideVollständiges On-Box-Reporting unddynamische ÜberwachungIn TMG-Reports fehlen hilfreiche Drill-Down-, Filter- und Anpassungsfunktionen. Mit einerReihe von Drittanbieter-Add-Ons hat man versucht, diese Mängel auszugleichen. Wenn Sienach einer Ersatzlösung für TMG Ausschau halten, sollten Sie sich im Vorfeld vergewissern,dass diese nicht dieselben Schwächen aufweist. Schließlich wollen Sie keine zusätzlicheHardware, Software oder gar beides kaufen müssen, um Reports erstellen zu können.Viele Anbieter verkaufen Reporting-Funktionen als kostenpflichtiges Add-On, für das einseparater Server oder ein spezielles Gerät erforderlich ist.Bei Sophos bieten wir Ihnen integrierte On-Box-Reports sowie eine Funktion zurdynamischen Überwachung. Dank dieser integrierten Reporting-Funktionen unsererUTM wissen Sie immer genau, was in Ihrem Netzwerk vor sich geht. So können SieProbleme schnell identifizieren und Ihre Richtlinien so anpassen, dass Schutz, Leistungund Produktivität stets optimal sind. Detaillierte Informations-Reports mit weitgehendenDrill-Down-Funktionen sind Standard. Sie werden lokal gespeichert, es sind daher keineseparaten Tools erforderlich.Darüber hinaus können Sie auf den Flow Monitors mit einem Blick die Auslastungstrendsablesen und erhalten so Echtzeit-Informationen über die Netzwerkaktivität. DieAnonymisierungs-Funktion der Reports sorgt dafür, dass die Namen der Benutzerausgeblendet werden. Das Vier-Augen-Prinzip ist erforderlich, um die Namen einzublenden.„Dank der vielenDetails undAnpassungsmöglichkeitenkann man mitder UTM vonSophos so gutwie jeden nurvorstellbarenReport generieren. Das istmeiner Meinungnach eine dergrößten Stärkendes Produkts.“2Sophos UTM bietet eine umfangreiche Palette an vordefinierten Reports mit weitreichendenDrill-Down- und Anpassungsoptionen.Sophos White Paper Juli 20137
TMG Replacement GuideDie wichtigsten Funktionen im VergleichTMGUTMWeitere neue Funktionen:Hyper-V-SupportMehr Bereitstellungsoptionen (HW, SW, VM,Cloud)Firewall (Stateful Packet Filtering)Erweitertes Routing, Länder-BlockierungIPS11.000 IPS-Angriffsmuster – Live ProtectionSpam- und Malware-Schutz für ExchangeBenutzerportal-Quarantäne, E-Mail-VerschlüsselungRedundanzWAN-Redundanz & Load BalancingProtokollierung/ReportingAnpassbare Reports, Drill-Down und mehrClient-VPNs (PPTP/L2TP)Mehr Flexibilität (SSL, HTML5)Site-to-Site-VPNs (IPSEC)Umfassenderer VPN-Support, Amazon VPC, REDURL-FilterungReputationsfilterung, anpassbare eMalware-Scans2 Engines, unterstützt von den SophosLabsHTTPS-ScansHTTPS Scans im TransparentmodusBenutzerauthentifizierungMehr Flexibilität, TransparentmodusReverse-ProxyWAF Mit Server HardeningReverse-Proxy-SSL-VerschiebungInkl. WAF-FunktionReverse-Proxy-AuthentifizierungNeu in UTM v9.2Sophos White Paper Juli 20138
TMG Replacement GuideSophos UTM: Die beste AlternativeTMG bot eine breite Palette an Funktionen, für die sich viele Microsoft-Partner entschiedenhatten und die ohne einen adäquaten Ersatz schmerzlich vermisst werden würden. MitSophos UTM erhalten Sie einen adäquaten Ersatz, der es Ihnen ermöglicht, Ihre Benutzerweiterhin zuverlässig zu schützen. Die in der UTM integrierten Technologien sind optimalaufeinander abgestimmt und arbeiten reibungslos miteinander. Eine weitere Stärke derSophos UTM ist die einfache Verwaltung, die Ihnen kein anderes UTM-Produkt auf demMarkt bietet.Daher erhielt die Sophos UTM auch Bestnoten von Branchenexperten, die verschiedeneAlternativen unter die Lupe genommen haben. So kommt man im Threat AssessmentJournal der West Coast Labs vom April 2013 zu folgendem Fazit:„Die Kombination der Sicherheitstechnologien, gepaart miterweiterten Funktionen und einer zentralen Verwaltungdürfte bei Unternehmen Anklang finden, die eineRationalisierung ihrer IT-Sicherheit anstreben und deshalbeine Komplettlösung suchen, die von einem einzigen,angesehenen Anbieter stammt. Sophos UTM hat sichnachhaltig als würdiger Kandidat für alle Auswahllistenkonsolidierter Sicherheits-Devices erwiesen.“3Sophos UTM ist mehr als ein Ersatz für Ihr veraltetes Microsoft TMG. Unsere Lösung bietetIhnen nicht nur alle notwendigen Funktionen, die Sie schon von TMG kennen, sonderndarüber hinaus weitere Optionen, mit denen Sie Ihren Schutz noch erweitern und wesentlichmehr Funktionen hinzufügen können – und zwar wann immer Sie möchten. Hinzufügenkönnen Sie z. B. einen integrierten Wireless-Controller mit zahlreichen Plug-and-Playfähigen Access Points oder unser einzigartiges kostengünstiges Plug-and-Protect-REDGerät, um Ihr Netzwerk ganz einfach um sichere Zweigstellen-VPNs zu erweitern. Dies sindnur zwei von zahlreichen Erweiterungsoptionen.Branchenexperten haben eine Vielzahl an Produkten verglichen und deren Funktionengründlich getestet. Sie bestätigen: Sophos UTM ist die beste und einfachste Lösung, um Ihraltes TMG zu ersetzen.Wechseln Sie noch heuteUnter www.sophos.de/TMG erhalten Sie weitere Informationen und können eine kostenloseTestversion von Sophos UTM anfordern. Benötigen Sie genauere Informationen odermöchten Sie unser lukratives, nur für kurze Zeit erhältliches Angebot beim Wechsel vonTMG zu UTM nutzen? Dann kontaktieren Sie bitte einen unserer Sophos Partner.Sophos White Paper Juli 20139
TMG Replacement GuideQuellen1. Bytes Technology Group (Juli 2013) Goodbye Microsoft Forefront TMG - Hello SophosUTM hello/2. Lutters, Jorn. (16. Januar 2013). Securing the edge in a post-TMG world. [Web LogPost]. Aus t-tmg-world/. In dieserBlog-Serie wurden Ersatzprodukte für das Forefront Threat Management Gateway 2010von Microsoft besprochen. Die Serie besteht aus mehreren Teilen und lief über einigeWochen. Die Meinung der Autoren zu den technischen Details der Sophos UTM finden Siehier: t-tmg-world-part-5/.3. „Technology Performance: Real Time performance for Sophos UTM.“ Threat AssessmentJournal 1 (April 2013): 12-15. Web.Sophos UTMKostenlose Testversion unter sophos.de/utmSales DACH (Deutschland, Österreich, Schweiz)Tel.: 49 611 5858-0 49 721 255 16-0E-Mail: sales@sophos.deBoston, USA Oxford, UK Copyright 2013. Sophos Ltd. Alle Rechte vorbehalten.Alle Marken sind Eigentum ihres jeweiligen Inhabers.1034-06DD.wpna.06.13
TMG Replacement Guide Einfache Lizenzierung und Bereitstellung Im 58-Seiten-umfassenden Lizenzierungshandbuch von Microsoft für Windows Server- und Forefront-Produkte wird erklärt, dass TMG als Teil von mindestens 11 verschiedenen Programmen lizenziert wird. TMG wird als natives 64-Bit-Software-Produkt für Windows Server 2008 angeboten.
