Qual usar TMG ou UAG?

Recentemente incluímos em nosso Blog dois posts relacionados a duas soluções da família Forefront: UAG e TMG. Embora existam semelhanças estes dois produtos podem ser aplicados em cenários diferentes.

A diferença mais importante é que o TMG é um gateway de acesso “entrada e saída” que inclui um firewall de nível de rede com inspeção de pacotes com monitoração de estado e filtragem de aplicativos , proxy da web  de encaminhamento e reverso , servidor VPN (para usuários e site-to-site). O TMG é mais focado em manter os acessos não autorizados fora e em certa medida(controle), permitir acessos autorizados. Por outro lado, o UAG é um gateway de acesso remoto seguro “de entrada somente” que permite que você permitir acesso externo de uma forma mais segura.

Mais a melhor maneira de identificar as diferenças entre os dois é perceber quando usamos um e quando usamos o outro. Para isso vamos a uma lista de funcionalidades.

Forefront Threat Management Gateway (TMG)

Eu preciso usar o TMG quando:

Preciso de um gateway de acesso de entrada e saída

Preciso de um firewall de última geração com inspeção de pacotes com monitoração de Estado e aplicação de recursos para proteger minha rede de filtragem

Preciso de um built-in IPS (Intrusion Prevention System) no firewall

Precisa de um proxy de encaminhamento seguro para os usuários da rede acessarem a internet

Capacidade de fazer filtragem web  baseada em URLs individuais ou URL categorias (como política, esportes, pornografia, etc)

Eu preciso ser capaz de monitorar atividade do meu usuário  na web via log do firewall.

Eu preciso ser capaz de bloquear sites improdutivos e serviços (como o IM, P2P, vídeo, compartilhamento, etc)

Eu preciso  proteger meus usuários contra ameaças baseadas na web (web antivírus, antimalware web, bloquear sites maliciosos)

Eu preciso de inspeção frente HTTPS para proteger os usuários contra ameaças da web que estão escondidos dentro HTTPS

Eu preciso publicar serviços (proxy reverso) para a internet (como servidores web, servidores de e-mail, webmail, extranet, portais de intranet e internet, etc)

Eu preciso de SSL bridging para proteger meu servidores de publicação contra ameaças incorporadas dentro de SSL

Eu preciso de proteção contra vulnerabilidades que não têm um patch liberado ainda (NIS)

Eu preciso de VPN site a site

Eu preciso de um servidor VPN para meus usuários

Forefront Unified Access Gateway (UAG)

Eu preciso usar o UAG quando:

Eu preciso access gateway de ‘entrada apenas’

Eu preciso habilitar meus usuários acessar recursos internos com segurança remotamente (enquanto eles estão fora da rede da empresa)

Eu preciso habilitar acesso VPN seguro para os usuários quando eles estão fora da minha rede

Eu preciso rapidamente e facilmente habilitar DirectAccess para meus usuários de Windows 7

Eu preciso garantir apenas máquinas remotas saudável e seguras  possam acessar aplicativos/serviços/informações em minha rede com autenticação de usuário apropriado

Eu preciso ser capaz de definir quais aplicativos ou serviços esses usuários podem acessar e granularmente definir as políticas de segurança que controlarão o acesso a esses serviços remotamente

Eu preciso garantir que esses usuários possam acessar esses aplicativos, independentemente de eles usarem serviços baseados na web, terminais, RemoteApp ou Citrix sem a necessidade de estabelecer a conexão VPN.

Eu preciso dar meus usuários a capacidade de acessar esses aplicativos de um dispositivo móvel, ou um cliente não-Windows, como um Mac ou uma máquina Linux

Eu preciso fornecer uma interface baseada na web para que o usuário possa iniciar uma sessão remotamente e executar esses aplicativos a partir deste portal sem uma conexão VPN, desde que sua máquina seja saudável.

Eu preciso fornecer uma interface baseada na web que o usuário faça o login remotamente e estabeleça uma sessão VPN SSTP segura ou acesse servidores de arquivos a partir do portal sem uma conexão VPN, desde que sua máquina passe os requisitos de integridade da minha organização.

Eu preciso ser capaz de definir facilmente as diretivas de integridade de segurança/máquina para máquinas que estão tentando acessar esses aplicativos.

Eu tenho  locais remotos onde eu tenho pequeno número de usuários com nenhuma VPN site-to-site e apenas uma conexão com a internet

Eu preciso fornecer acesso seguro aos meus pedidos pela internet

Conclusão

Como você pode ver, cada produto é especializado para oferecer recursos muito concentrados. Portanto, é bem possível que algumas organizações precisem de ambas as soluções, enquanto outros precisam de apenas uma. Para muitas organizações menores que precisam de uma solução  para proteger sua rede e fornecer acesso remoto razoavelmente seguro, TMG seria a resposta. No entanto, para projetos que enfocam puramente acesso de entrada, o UAG precisam ser considerado. Se uma organização tiver arrays separados TMG/ISA Server – uma para acesso de entrada e outra para acesso de saída – a solução é simples – use uma matriz UAG para acesso de entrada e continue usando o TMG para a matriz de saída.

Fonte: http://www.microsoftnow.com/2010/06/tmg-or-uag-which-one-do-i-need.html

Eduardo Passos
Eduardo Passos
Diretor de serviços e produtos na Infobusiness Informática, com mais de 12 anos de experiência no mercado de TI brasileiro.