UTM zbavená tajemství i mýtů

28. 12. 2009

Sdílet

S nabídkami UTM (Unified Threat Management) řešení se v posledních letech roztrhl pytel. V plné návaznosti na rozvoj trhu s bezpečnostními řešeními, který roste ohromující rychlostí bez ohledu na zpomalující se ekonomiku, se dostává konceptu integrace co možná největšího množství bezpečnostních vlastností do jediné platformy zastřešené společným uživatelským rozhraním stále větší podpory než kdykoli předtím.

Nejen, že současní výrobci upravují své stávající nabídky tak, aby mohli v tomto prostředí co nejlépe konkurovat, ale také se neustále objevují nové společnosti nabízející svou „příchuť“ UTM řešení. Správné rozhodnutí v případě volby vhodného bezpečnostního řešení dosud nikdy nenabízelo koncovému uživateli tolik možností.

Nicméně výše zmíněné má i svou stinnou stránku. Pokusy výrobců utrhnout si pro sebe co možná největší podíl ze tří miliard dolarů, které protekly tímto odvětvím trhu za rok 2008, dalo vzniknout nepřehledné záplavě produktů nabízejících různé vlastnosti, výkon a schopnosti.

Tento příspěvek se pokusí vysvětlit, jak se v této záplavě řešení orientovat, osvětlí termíny běžně používané v oblasti bezpečnostních řešení a pomůže identifikovat produkt, který nejlépe vyřeší vaše problémy.

 

 

Výhody UTM

Otázka a zdůvodnění konsolidace mnoha síťových bezpečnostních produktů do jednoho zařízení byla v minulosti mnohokrát zodpovězena včetně zdůraznění mnoha výhod, které tato integrace přináší. Stejně tak jako fakt, správa množství rozdílných samostatných produktů má své jednoznačné nevýhody v porovnání s UTM řešením.

Administrátoři musejí zvládat rozdílná konfigurační rozhraní používající rozdílné terminologie a postupy. Musej řešit patch management pro rozdílné platformy a umět jednotlivá řešení nakonfigurovat, aby spolu správně spolupracovala, ve správném pořadí a zaručit tak správnou funkčnost celého bezpečnostního řešení.

Dále pak také velké množství samostatných řešení představuje zvýšené nároky na odhalování možných problémů vzhledem ke většímu množství možných bodů vzniku konfiguračních chyb a tím navyšuje počet oblastí, které je třeba v případe hledání problémů zkontrolovat.

Z finančního pohledu je nasazení množství samostatných řešení ještě méně zajímavé, neboť je nutné udržovat licence a kontrakty na podporu, údržbu a updaty pro každý nasazený produkt samostatně.

Atraktivita UTM řešení je posílena nutností zvládnout pouze jediné uživatelské rozhraní, platit předplatné pouze u jedné společnosti a řešit veškeré problémy na jednom místě. Dále pak aplikace na UTM platformě spolu spolupracují a navzájem se doplňují tak, aby co nejlépe využily výhod jednotné platformy, na které běží.

UTM zařízení tak může například nejdříve dešifrovat příchozí provoz z mobilních VPN klientů (jako třeba IPSec, nebo SSL) a následně tento provoz filtrovat včetně IPS kontroly. Tento typ nasazení má jednoznačné výhody oproti samostatně nasazeným jednoúčelovým zařízením, která musí být umístěna ve správném pořadí a nakonfigurována za využití komplexního směrování, aby se zaručilo, že správné filtry budou na sledovaný provoz aplikovány ve správném pořadí.

 

Nabídky UTM

Na první pohled vypadají dnešní UTM řešení velice podobně co do nabízených schopností, vlastností a obecného konceptu. Díky sdružení různých open source a proprietárních řešení od třetí strany téměř každé UTM řešení slibuje být tím nejlepším, nejkompletnějším, či „best-of-breed“.

Problém spočívá v tom, že jednotlivá proprietární řešení jsou stavěna účelově a často se zaměřují na úzkou funkční oblast. To jim sice dává větší možnosti, ale často to také pro tuto činnost vyžaduje využití samostatné platformy.

K tomu, aby bylo možné tyto samostatné produkty úspěšně integrovat do jediného zařízení, musí výsledný produkt poskytovat nejen dostatečný výkon , ale i hodně funkcí v mnoha oblastech, aby byla zaručena možnost náhrady současných řešení spolu s možností budoucího růstu v případě potřeby.

 

Rozdíly v UTM

Nicméně sloučení mnoha samostatných řešení do jediného zařízení nabízí pouze malé výhody, pokud nejsou současně integrována do jednotného management rozhraní, aniž by to učinilo celý produkt přespříliš komplexním a tak prakticky nepoužitelným. Bohužel problémem mnoha UTM řešení je v současné době právě neexistence této zmíněné jednotné management architektury.

 

Jednotná správa

Z toho důvodu by jednou z hlavních oblastí k uvážení při výběru UTM řešení měla být přehlednost a uhlazenost uživatelského rozhraní. Vzhledem k tomu, že hlavním přínosem UTM je správa mnoha rozdílných oblastí za pomocí jediné management konzole, toto prostředí by mělo být jednoduché na pochopení či osvojení a uživateli tak umožnit vyřešit jeho požadavky na bezpečnost v co nejkratším čase.

A není to jen o tom, jak je celé uživatelské rozhraní uhlazené a nablýskané, ale hlavně o tom, jak těsná je integrace mezi jednotlivými oblastmi daného produktu. Mnohá UTM řešení obsahují spletitou implementaci samostatných modulů, které v podstatě neví jeden o druhém.

Například v případě, že je nutné řešit požadavek na nastavené webové bezpečnosti, musejí být provedeny samostatné konfigurace jednotlivých modulů, aby bylo možné tento požadavek úspěšně vyřešit.

Nejen že by se v takovém případě musel aktivovat a nastavit filtr obsahu, ale často je nutné také provést změny konfigurací v dalších modulech, aby se ty dozvěděly, že byla tato funkce aktivována. To může zahrnovat tvorbu pravidel v paketovém filtru, nastavení NAT pravidel a povolení stahování antivirových aktualizací z internetu.

V kontrastu s tím více pokročilá UTM řešení umožní administrátorovi aktivovat filtr obsahu v jedné konfigurační sekci rozhraní a zbytek nastavení s tím spojený již daný systém provede automaticky tak aby byla umožněna aktivace požadované vlastnosti.

Ale ať už je schopnost obsáhnout množství nástrojů moderních UTM řešení jakákoliv, nezáleží pouze na tom, jak jsou spolu věci navzájem propojeny a jakým GUI jsou zastřešeny. Mnohem důležitější je bohatost jednotlivých samostatně porovnávaných vlastností a jejich efektivita při řešení problémů v dané oblasti, známá také jako „hloubka záběru“.

 

Hloubka záběru

Pokud zvažujete nákup UTM řešení, je nutné zvážit možnosti jednotlivých vlastností a jejich schopnost efektivně řešit problémy na které jsou zaměřeny a ne jen poskytnout možnost zaškrtnout další tzv. checkbox v položce obsažených vlastností daného řešení v marketingových materiálech.

Například dva automobily s podobnou cenou mohou mít motory, které se navzájem velice liší co do výkonu, spolehlivosti a spotřeby - a při tom obě auta nabízejí stejnou vlastnost – motor. Stejně tak se UTM řešení různí jakmile začneme detailně porovnávat kvalitu jednotlivých obsažených komponent.

Příliš často tyto produkty obsahují holé minimum funkcí, aby bylo umožněno zaplnění marketingových datasheetů, ale ve finále je kvalita komponentů naprosto nedostatečná, pokud se detailněji porovná nejen s vlastnostmi konkurenčních řešení, ale i ve schopnosti řešit problémy, které by měly adresovat. Následující dvě části nabízejí několik příkladů jak se vlastnosti, které na první pohled vypadají podobně co se týká názvu a funkce, mohou velice lišit ve chvíli kdy jsou odhaleny jejich skutečné schopnosti.

 

Antispam

Ochrana proti nevyžádané poště se může realizovat s použitím různých postupů, ale ve většině případů se pro koncového uživatele označuje jako obecný „SPAM filtr“, nebo kontrola elektronické pošty.

Například filtrování pošty na základě RBL (Real-time Blackhole List) ač je v podstatě formou antispamové ochrany, tak v reálném nasazení aplikace spoléhající pouze na tomto typu filtrování selže, neboť tato metoda spoléhá převážně na informace o odesilatelích pošty získané od jiných uživatelů. Vzhledem k tomu, že spammeři zřídka používají pro odesílání stejné adresy, která by mohla být rychle identifikována a zařazena na statické seznamy, je tato metoda neefektivní pro použití jako základu antispamového řešení.

Nicméně zahrnutí byť i této jediné funkce umožní výrobcům UTM produktů tvrdit, že jejich produkt nabízí funkci filtrování pošty či antispamovou funkcionalitu. Na rozdíl od toho opravdu kvalitní e-mailový filtr musí obsahovat rozdílné způsoby detekce za použití rozdílných nástrojů, aby mohl obhájit svou pozici na trhu proti dedikovaným produktům pro filtrování pošty.

Běžným trendem nejefektivnějších filtrů je v dnešní době přistupovat k tzv. outbreakům nových spamových zpráv jako k virům. Integrací do páteřních sítí velkých ISP a sdílením distribuovaných otisků automaticky poskytovaných jednotlivými instalacemi mohou být propuknutí nových spamových zpráv identifikovány během několika sekund, přičemž všechny instalace jsou pak informovány o této nové hrozbě téměř v reálném čase. V kombinaci s tradičními filtry kontroly obsahu lze pak vytvořit a nabízet silné řešení. Zde je hloubka záběru demonstrována u dvou produktů, které oba nabízejí „e-mailový filtr“, ale jejich efektivita v boji proti nevyžádané poště je propastně rozdílná.

 

URL Filtering

Filtrování obsahu webu lze také realizovat mnoha různými způsoby. Ve snaze řídit přístup k obsahu a stránkám, jejichž sledování má být umožněno, a blokování přístupu k nevhodnému obsahu, ať už z důvodu etiky, bezpečnosti nebo odpovědnosti, existuje široká řada řešení, která se prezentují jako Web/URL filtry.

Některá nabízejí základní minimum vlastností, jiná jsou zase tak složitá a komplexní, že jejich implementace vyžaduje, aby mohla být nasazena, obsáhlá školení a rekonfiguraci topologie celé sítě. Některá UTM řešení nabízejí „web filtr“, který umožňuje blokovat/umožnit přístup pouze ke specificky a manuálně vyjmenovaným serverům. Efektivita takových řešení je minimální vzhledem k počtu webových prezentaci a dynamice prostředí internetu jako takového.

Efektivnějším přístupem je klasifikace obsahu internetu do několika kategorií nebo typů a pak poskytnout možnost umožnit nebo blokovat přístup k obsahu na základě jeho klasifikace. Ale i zde je možné najít produkty s velmi rozdílnou úrovní efektivity takového řešení. Některá UTM řešení obsahují statické seznamy obsahující několik set tisíc stránek roztříděných do několika populárních kategorií s možností aktualizovat tyto seznamy v nastavených intervalech z aktualizačních serverů. Ač je tento přístup lepší než manuální vyplňování adres, které je třeba blokovat je i tak tento systém relativně limitován.

Řešení, která lze považovat za nejlepší, využívají obří klasifikační databáze umístěné v redundantních oblastech s vysokou rychlostí přístupu nabízejících miliardy klasifikovaných stránek roztříděných do mnoha kategorií.

Tento přístup je o to bohatší, když UTM produkty využívající tento systém samy identifikují dříve nezařazený obsah a automaticky jej odesílají pro zařazení do globální databáze, takže během krátké doby pak mohou všechny globálně nasazené instalace tohoto systému profitovat z takto navýšených znalostí.

U nejlepších produktů je pak také možné naprosto změnit přistup k filtrování obsahu a umožnit administrátorovi blokovat obsah ke všem stránkám a selektivně povolit přístup pouze k předem zvoleným kategoriím a manuálně zvoleným URL. Tím se značně usnadní zátěž administrátora systému, který pak nemusí neustále dolaďovat nastavení filtru a kontrolovat reporty, aby mohl zaručit přijatelnou funkčnost.

V tomto případě rozhodování o šířce záběru odhaluje nejen více možností, ale také zcela nové přístupy k řešení této problematiky spadající do obecné kategorie „filtrování obsahu/URL“ běžně nabízené v UTM řešeních.

 

Adaptibilita

Možnost upgrade a rozšiřitelnost v případě budoucí potřeby by měly být klíčovými aspekty UTM řešení. Trh bezpečnostních produktů čelí nově vznikajícím hrozbám, na které výrobci reagují novými nástroji, verzemi, aktualizacemi, technologiemi a celými platformami. Možnost růstu investice udělané dnes, aby mohla obsáhnout řešení uvolněná zítra bývá často přehlížena. Možnost upgrade firmware zařízení, aby bylo schopno provozovat nejaktuálnější verzi daného software je velkou výhodou. Také je důležité zvážit, zda (pokud vůbec) je možné navýšit výkon produktu tak, aby zvládl v budoucnu ochránit větší počet uživatelů, či následnou aktivaci vlastností, které nebyly dříve k dispozici nebo se s nimi nepočítalo. Dobrou vlastností je možnost nákupu více zařízení a jejich následné zapojení do clusteru za účelem rozložení zátěže při zachování jednotného uživatelského rozhraní dávajícího administrátorovi možnost spravovat tento systém stejně jako by šlo o jedinou samostatnou jednotku.

To umožňuje spojit několik UTM zařízení a vytvořit tak silnější instalaci pracující jako tým, kde ta nejlepší řešení nabízejí coby součást této funkcionality i možnost tzv. fail-overu a odolnosti proti selhání. Povědomí o existenci různých možností rozšíření systému se rozhodně vyplatí v porovnání s nutností pořízení vyššího modelu UTM řešení v případě, že to současné již přestane z hlediska výkonu vyhovovat.

 

Licencování

Licenční schémata UTM zařízení mohou být rozmanitá, ale zároveň i značně složitá. Přestože mnoho výrobců prohlašuje o svých produktech, že nemají žádná omezení ohledně počtu uživatelů, je to zřídkakdy pravdou.

V minulosti bylo pro bezpečnostní zařízení běžné – stejně tak jako pro čistě softwarová řešení – řídit nabídku licencování na základě počtu IP adres. Tento způsob přetrval po mnoho let, dokud trh nezačal požadovat změnu. Klíčovým faktorem byla při tomto kroku rostoucí rozmanitost funkcí, kterých jsou UTM řešení schopná.

Jedna firma si může pořídit „Box X“ a používat jej pouze jako firewall a VPN bránu pro několik vzdálených uživatelů. Stejný „Box X“ může být ale zakoupen jinou společností, která jej může nasadit se všemi aktivovanými moduly (firewall, e-mailová a webová brána, IPS a další). Přesto že oba zákazníci používají stejný produkt, první ze zmíněných může efektivně ochránit víc IP adres než zákazník, který používá víc aktivních vlastností.

Nejschopnější UTM řešení umožňují uživatelům čerpat veškeré vlastnosti těchto jednotek, aniž by uživatelé narazili na nějaké umělé limity. Jednotky tak budou fungovat do doby, dokud nevyčerpají volné hardwarové prostředky (CPU/RAM) a budou pak vyžadovat upgrade nebo pořízení nové jednotky pro přidání do clusteru.

Některé společnosti využívají licenční modely účtující či limitující na základě počtu uživatelů, IP adres, MAC adres a občas i faktorů, které nejsou ihned viditelné. Jako příklad lze uvést „neomezený“ počet uživatelů, ale nastavit limit na maximální počet současných spojení.

To efektivně zaručí omezení produktu při zachování reklamovaného „neomezeného“ počtu uživatelů. Jiní výrobci mohou nastavit maximální provozní propustnost zařízení, jako třeba omezení WAN uplink rozhraní, na 1 Mb/s.

Souvisejícím faktorem k uvážení při porovnávání UTM řešení je také skutečnost, že některé funkce jsou dostupné pouze u vyšších modelů. Výrobci občas přesouvají často požadované a nové funkce do dražších modelů, nebo modelů se zvláštním doplňkovým označením, a to vše za účelem donutit kupujícího utratit více peněz.

V podstatě to znamená, že pokud je například „UTM model 1000“ nabízen za nějakou cenu, je třeba se nejprve ujistit, zda k vyřešení problému není potřeba „UTM model 1000C“ nebo „Model 300“. Přesné porozumění licenčním podmínkám a modelům zvýší šanci, že kupující zvolí správné a vyhovující řešení.

 

Jednoduchost používání

Mnohými výrobci často užívaným slovním spojením je „jednoduchost používání“ (ease of use). Je překvapující, jak často se tento pojem bere naprosto nominálně.

Základním konceptem je sdělit možnému zájemci, jak intuitivní je správa příslušného zařízení, většinou pomocí GUI, což bývá v současné době de facto standard v oblasti UTM zařízení. Nicméně téměř každý výrobce o svém produktu tvrdí, že jeho jednoduchost používání z něho dělá produkt lepší než je kterýkoliv jiný.

Produkt používající jako základ správný design lze jednoduše rozpoznat již na základě několika otisků obrazovky nebo po několika minutách práce s testovací jednotkou nebo on-line demonstrační jednotkou.

Je jednoduché rozpoznat rozdíly v užitné hodnotě UTM zařízení již na základě jeho GUI a taé způsobu, jakým prezentuje hodnoty administrátorovi. Umístěním klíčových a běžně užívaných funkcí do prominentních oblastí a omezení nutnosti používání kláves jako „Ctrl“ nebo „Alt“, pravého tlačítka myši či jiných skrytých příkazů dokáže udělat divy při předkládání informací administrátorovi, aniž by se musel učit proprietární ovládací příkazy.

V neposlední řadě je termín „jednoduchost používání“ naprosto závislý na tom, kdo daný produkt používá. Například závodní vůz formule jedna je neuvěřitelně komplexní nástroj vyžadující pro správné řízení elitní úroveň tréninku a zkušeností. Nicméně jezdci F1 na něj jsou zvyklí. A přestože pouze několik lidí na planetě dokáže tento vůz efektivně řídit, jedná se stále o automobil, který má volant, pedály a další ovladače, se kterými umí zacházet téměř každý.

Obdobně tak i poslední generace UTM řešení má jistou formu GUI rozčleněnou do rozličných oblastí, rozbalovací menu a podobně. V nejlepších/nejnovějších řešeních se také objevují různé implementace použití kombinace technologií Web 2.0/Ajax umožňující uživatelům plynule procházet produktem a provádět konfigurační změny bez nutnosti expertní znalosti toho, co ovládají.

UTM řešení, která stále spoléhají na konfiguraci pomocí příkazové řádky, využívají externího softwarového klienta nebo naprosto rozdílná GUI pro jednotlivé funkční moduly, mohou být snadno zastíněna dobře navrženým řešením, které bere v potaz nejen technologii, kterou ovládá, ale i samotného uživatele.

 

Možnost vyzkoušení

Při hodnocení UTM řešení si nalezněte čas a zúčastněte se webináře, prohlédněte si uživatelské rozhraní v akci, nebo si vyžádejte testovací jednotku a vyzkoušejte si GUI na vlastní kůži. Dobrým faktorem při hodnocení je i posouzení konfigurace, kterou produkt obsahuje z výroby.

Pokud produkt okamžitě požaduje velké množství konfiguračních změn pro jeho začlenění do stávající infrastruktury, aby vyhovoval firemním bezpečnostním politikám, vzniká mnohem vyšší riziko možných konfiguračních chyb - na rozdíl od zařízení dodávaného v „plně uzamčeném“ stavu. Několik rozhodnutí v průběhu nákupu zařízení může ve finále ušetřit mnoho hodin při vlastním nasazení do operačního provozu.

 

Údaje o výkonu

Zákazníci bývají často zmatení publikovanými údaji o výkonu. Každý výrobce nabízí určitou úroveň informací ohledně výkonu jejich produktů. V naprosté většině případů je však důležité, na jakém základu jsou tato čísla postavena a jakým způsobem byla získána.

Je nemožné zhodnotit dopad UTM řešení podle jediného čísla. Stejně tak i v automobilovém průmyslu mají zákazníci různé požadavky na rychlost, spolehlivost, ovládání a bezpečnost. Mnohá čísla uváděná na letácích jsou však naprosto zavádějící a nepřesná, neboť mnohdy uvádějí jen tu nejlepší ideální možnou hodnotu pro danou kategorii.

Pokud si pak prohlédnete seznam specifikací zvažovaného UTM řešení a uvidíte položku „propustnost SMTP/E-mail brány“, u které je uvedena pouze hodnota 120 000 zpráv za hodinu, je více než důležité vědět, jaké faktory mohou toto číslo ovlivnit - tato hodnota je totiž přímo závislá na takových parametrech, jako je velikost kontrolované zprávy, časový odstup, ve kterém jsou zprávy odesílány/přijímány, či v jakém bodě kontroly jsou tyto zprávy přijaty nebo odmítnuty.

Vzhledem k faktu, že sofistikovaná antispamová řešení odmítají mnoho zpráv ještě dříve, než se dostanou do podsystému kontroly obsahu, množství e-mailů, které opravdu projdou všemi stupni kontroly, může ve finále dosáhnout pouze zlomkové hodnoty objemu všech zpráv, které dané UTM zařízení „vidí“. Tím pádem se marketingově prezentovaná čísla o propustnosti mohou výrazně lišit od reality.

V neposlední řadě, pokud se stejné UTM řešení podrobí dvěma testovacím scénářům, lze sledovat masivní rozdíl v propustnosti, pokud se v jednom případě zapnou veškeré dostupné možnosti pro kontrolu pošty a v jiném se provede stejný test s pouze jedinou aktivní možností kontroly, neboť v tomto případě bude celý systém při kontrole zpráv mnohem méně zatížen. Obdobný pohled se dá aplikovat v podstatě na jakoukoli kombinaci vlastností, které UTM řešení nabízejí a je jasné že v mnoha případech lze narazit na odchylky od udávaných čísel.

 

Závěrem

Výše uvedené úvahy odkrývají pouze pomyslnou špičku ledovce u množství voleb a rozhodnutí, kterým musí případný zájemce čelit při výběru UTM řešení. Obrovské množství výrobců v této oblasti v kombinaci s množstvím nabízených produktů a vlastností v návaznosti na způsob nasazení do cílových sítí může zamotat hlavu i ostříleným profesionálům.

Nicméně i tento základ již umožní potenciálním zákazníkům vybrat si produkt, který pro ně bude v dané situaci nejlepší, pokud při výběru daného řešení budou výrobcům a dodavatelům pokládat ty správné otázky.

Mnoho zákazníků je množstvím možností, vlastností, slibů a typů UTM řešení doslova ohromeno a může se pak snadno stát, že se odchýlí od primárního zaměření na problém, který potřebují řešit. Proto je třeba nejprve identifikovat, co dané UTM řešení musí splňovat a teprve pak se snažit najít ten nejlepší produkt za nejlepší cenu.

Nenechte se zmást marketingovými informacemi a údaji o výkonu. Ujistěte se, že jste plně pochopili model licencování daného řešení, a že pro daný produkt existují možnosti pro upgrady, abyste do budoucnosti co nejlépe chránili svou investici do UTM řešení.

V tomto ohledu je kritické se soustředit na to, zda daná individuální UTM řešení obsahují vlastnosti a nástroje, které umožní efektivně eliminovat problémy, kterým čelíte, a ne že tyto funkce jsou implementovány jen proto, aby si výrobce mohl odškrtnout další políčko v nabízených vlastnostech na marketingových letácích.

V neposlední řadě může mít na finální rozhodnutí velký vliv i to, pokud věnujete nějaký čas tomu, abyste strávili alespoň několik minut se skutečným produktem a měli možnost si tak jej osahat a vyzkoušet inzerované vlastnosti a funkce.

Například firma Astaro byla úspěšná při plnění vysokých nároků a požadavků kladených trhem, že byla pojata jako inspirace pro vznik definice nové bezpečnostní platformy XTM (eXtensible Threat Management) – nový segment trhu definovaný analytiky z IDC.

Podle IDC platformy XTM překonávají běžná UTM řešení díky lepšímu konfiguračnímu rozhraní a množství bezpečnostních vlastností, které umožňují chránit firemní sítě proti současným i budoucím hrozbám. XTM řešení se snaží odlišit od běžných UTM systémů díky nabídce většího množství high-end funkcí a vlastností s vysokým stupněm použitelnosti v oblasti SMB trhu.

 

bitcoin školení listopad 24

Autor je Product Managerem firmy Astaro.

Tento článek vyšel v tištěném SecurityWorldu 2/2009.