Näkemiin, UAG– oli (toisinaan) mukava tuntea


Näkemiin, UAG– oli (toisinaan) mukava tuntea



Microsoft julkaisi englanninkielisessä Server & Cloud-blogissaan eilen tiedotteen, jossa linjataan Forefront-tuoteperheen tulevaisuutta. Voit lukea alkuperäisen artikkelin täältä: http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx

Käytännössä Microsoftin tiedote linjaa jo ennalta odotetun ratkaisun – Unified Access Gateway, eli UAG-nimellä tunnettu tuote lakkautetaan ja poistuu hinnastoista 1. heinäkuuta 2014. Tämä ei sinänsä yllätä, koska UAG käyttää pohjalla saman tuoteperheen toista tuotetta, Threat Management Gateway 2010:tä (TMG), joka koki saman tylyn kohtalon viime vuonna (lähde).

Vaikka UAG:n kohtalo oli odotettavissa ennemmin kuin myöhemmin, jää tilalle Microsoftin tarjoomassa kovin vähän. Microsoftin filosofian mukaan organisaatioilla on mahdollisuus hyödyntää nyt paremmin DirectAccess-ratkaisua, joka alunalkaen tuli Windows Server 2012-palvelinkäyttöjärjestelmän osana.

DirectAccess toteuttaa osan niistä toiminnallisuuksista, jotka UAG teki hyvin: turvalliset ja suojatut etäyhteydet organisaation palveluihin sellaisilta työasemilta (tai palvelimilta), joille pääsy halutaan sallia. Käytännössä suomalaisissa yrityksissä DirectAccessia käytetään pääasiallisesti korvaamaan perinteinen dial up VPN-yhteys, jolloin liikennöinti yrityksen palveluihin (vaikkapa työntekijän läppäristä) tunneloidaan aina salatusti ja tietoturvallisesti.

Technetistä löytyy ohjeet UAG:n migroimisesta DirectAccess-pohjaiseksi palveluksi (katso lisätietoja).

DirectAccess ei kuitenkaan kykene tarjoamaan sitä osaa UAG:n palveluista, joissa UAG oli myös laajasti käytössä – verkkopalveluiden turvallinen julkaisu Internet- ja extranet-käyttöön. Esimerkkinä tietysti SharePoint, Exchange ja Lync Microsoftin omista palvelinohjelmistoista. Ratkaisuna UAG:n eläköitymiselle Microsoft on hiljalleen kehitellyt Windows Server 2012 R2:n päälle omaa Web Application Proxy Service (WAPS) -roolia, joka toimii tietoturvallisena proxynä sisäverkon ja ulkoisten verkkojen välissä.

WAPS on vielä hyvinkin vahvasti 1.0-versiossa, eikä sisällä useimpia UAG:n edistyksellisimmistä toiminnallisuuksista. Lisäksi WAPS vaatii Active Directory Federation Services (ADFS) –infrastruktuurin. ADFS:n avulla saadaan mm. kertakirjautuminen (single sign-on, SSO) käyttöön. Katso lisätietoja WAPS-palvelusta täältä.

Toivon mukaan WAPS kehittyy ja päivittyy nykyaikaisemmaksi ratkaisuiksi kuin UAG ikinä oli, ja pysyy huokeana (= käytännössä ilmaisena, kunhan Windows Serverin lisensointi on hoidettu asianmukaisesti) toteutusvaihtoehtona.

Onko UAG:n lopettaminen fiksu siirto Microsoftilta? Uskon, että on.

Teknisesti UAG oli jo melko kulunut ja erilaisin virityksin teippailtu vuosien varrella, että työskentely UAG:n kanssa on aina yhtä aikaa jännittävää ja pelottavaa. Surullinen esimerkki on UAG:n räätälöinti, joka on kokoelma vanhanaikaista ASP-ohjelmointia (Classic ASP), HTML:ää ja .NETiä – eikä erityisen kauniilla tavalla yhdistettynä. Johtuen myös TMG:n hiipumisesta ja poistumisesta markkinoilta, oli UAG melko yksin oman ratkaisumallinsa kanssa ja tuotteen lopettaminen oli melkeinpä ainoa vaihtoehto.

Lopuksi, jos organisaatiolla on UAG nyt käytössä mutta WAPS tuntuu vielä liian heppoiselta, on jäljellä jokin kolmannen osapuolen vaihtoehto.

Käytännössä katse siirtyy silloin F5-yrityksen rauta- tai softapohjaisiin ratkaisuihin – esimerkiksi F5 Big IP-tuotteet (katso lisätietoja).



Microsoft-arkkitehti, erityisosaamisena SharePoint, Office 365 ja Microsoft Azure. Microsoft MVP & Microsoft Regional Director & Microsoft Certified Master (MCM). Sähköposti: jussi.roine@sulava.com, Twitter: @jussiroine