A ma esti E12 webcast-on figyeltem fel egy szemléletbeli váltásra. Az előadó arra célzott, hogy a CAS-t (Client Access Server; activesync, owa, stb…) tegyük csak minél közelebb a Mailbox szerverhez, mert ugye RPC. Erre rá is kérdeztek a hallgatóságból, hogy biztosan nem DMZ? És az előadó megerősíttetett: az a válasz jött vissza, hogy az ISA2004/6 annyira hiperszuper biztonságos, hogy bátran berakhatjuk a CAS-t a belső hálózatra.
Ehhez képest a webcast menetrendben szerepel a közeljövőben egy olyan előadás, amely azt mutatja be, hogy mennyire előnyös ISÁ-val DMZ-ket kezelni.
Imádom, amikor összevesznek a kegyeimért az eladók a termékmenedzserek.
2006. March 17. Friday at 10:36
Ez egyáltalán nem új felfogás – a whitepaperek is ezt mondják, és én is igyekeztem hirdetni az igét tavaly októberben a Lurdyban (utána ott van a magyarázat is).
2006. March 17. Friday at 10:49
Előtúrtam a whitepapert is, ebben van, egészen pontosan itt.
2006. March 17. Friday at 10:52
Most, hogy mondod, rémlett, hogy valahol már hallottam erről. Ott látom a gondot, hogy nagy céges biztonsági szakemberek soha nem fognak ennyire megbízni az ISA szerverben.
2006. March 17. Friday at 10:53
Ami leginkább percepciókon alapul. Könyörgöm, egy nyomorult HTTPS publikációról van szó!…
2006. March 17. Friday at 10:57
Ja, és figyeld meg az “Advanced Firewall…” fejezetben a sémát: az ISA a DMZ belső oldalán van, back-to-back felállásban a külső tűzfallal. Oda már odateheti a nagycégesbiztonságiszakember a hiperbiztonságos csomagszűrő pixét/zorpját/whatever. A két dolog nem zárja ki egymást.
2006. March 17. Friday at 12:32
Engem meggyőztél. A biztonsági ember meg reflexből a belső oldalra is a saját favoritját rakja, mert az ISA2000 után nem bízik a termékben.:-(
(Jó, persze, ennyire nem fekete a helyzet, ki lehet tenni az ISA-t a DMZ-be és akkor gyk ugyanott vagyunk.)