UTM vs NG Firewall

UTM (Unified Threat Management)
czy
Next generation firewall ( NG firewall)

Jakie są różnice między urządzeniami UTM (Unified Threat Management) i NGFW (Next Generation Firewall)?
Jaki produkt wybrać, który najlepiej zabezpieczy moją sieć firmową. Znaleźć odpowiednie informacje które charakteryzują się obiektywizmem  jest niezwykle ciężko dlatego zacytuje tu artykuł który ukazał się w Comuterworld autora Tomasza Kowalczyka

UTM czy NG Firewall różnice

Urządzenia UTM oraz NGFW są do siebie bardzo podobne od strony realizowanych zadań bezpieczeństwa. Są jednak między nimi pewne różnice, dotyczące m.in. wydajności, które sprawiają, że te dwie kategorie urządzeń znajdują zastosowanie w różnych miejscach. Znajomość różnic między nimi umożliwia wybranie urządzenia, które najlepiej będzie odpowiadać potrzebom firmowej sieci.

Zacznijmy od przedstawienia ogólnych definicji przyjętych w branży w celu odróżnienia tych dwóch typów urządzeń. Według Gartnera Unified Threat Management (UTM) to zintegrowana platforma składająca się z wielu różnych zabezpieczeń, przeznaczona w szczególności dla małych i średnich firm. Typowy zestaw funkcji można podzielić na trzy główne grupy. Pierwsza obejmuję zaporą sieciową, system IDS/IPS oraz VPN. Do drugiej odpowiadającej za bezpieczeństwo na bramce sieciowej zaliczymy filtry adresów oraz sieciowy antywirusowy. Ostatnia grupa odpowiada za bezpieczeństwo wiadomości, realizowane przez narzędzia antywirusowe i antyspamowe. Natomiast zapory następnej generacji (NGFWW) to zapory sieciowe dokonującej, tzw. głębokiej inspekcji pakietów, nie ograniczające się tylko do sprawdzenia numerów portów i typów protokołów. Umożliwiają kontrolę ruchu na poziomie warstwy aplikacji, zapobiegają włamaniom i mogą korzystać z różnych mechanizmów wykraczających poza funkcjonalność klasycznej zapory sieciowej. Obie kategorie produktów to de facto zapory sieciowe z rozszerzonym zestawem funkcji. Eksperci zwracają uwagę, że często trudno jest zauważyć wyraźną różnicę między UTM i NGFWW, ponieważ granice między tymi kategoriami zabezpieczeń są rozmyte. Aby odpowiedzieć na pytanie, który produkt lepiej sprawdzi się w firmowej sieci, trzeba lepiej zrozumieć różnice pomiędzy nimi.

Warto powrócić na chwilę do historii i przyjrzeć się pierwotnemu zakresowi zastosowań obu produktów. Swego czasu w segmencie małych i średnich firm pojawił się popyt na zabezpieczenia, które nie ograniczałyby się do funkcjonalności zapory sieciowej, ale obejmowały w jednym urządzeniu również takie mechanizmy, jak IPS/IDS, antyspam, filtrowanie treści czy zarządzanie pasmem. Jednocześnie ważna była łatwość w obsłudze i utrzymaniu. Producenci zareagowali na to, wprowadzając do sprzedaży produkty klasy UTM, z czasem wyposażając je w kolejne funkcje, jak VPN , zarządzanie wieloma łączami internetowymi, równoważenie obciążenia czy firewalle aplikacyjne.

Z kolei Next Generation Firewall były odpowiedzią na wymagania klientów korporacyjnych, którzy chcieli połączyć tradycyjne funkcje filtrowania ruchu sieciowego z funkcjonalnościami IDS/IPS oraz głęboką inspekcją pakietów. Tradycyjne zapory to jedynie pełnostanowe filtry działające w warstwach 3. i 4. modelu OSI, w ostatnich latach z elementami inspekcji ruchu w warstwie 7. NGFW to tradycyjne zapory sieciowe wyposażone w funkcje inspekcji z kontrolą, priorytetyzacją i przypisywaniem do użytkownika ruchu w warstwie aplikacyjnej.

Dla małych albo dla dużych

Analizując historyczne raporty, można powiedzieć, że różne rodzaje działalności firm doprowadziły do rozwoju różnych typów produktów. Jest to tylko częściowo prawdą. Zdaniem ekspertów, małe i średnie firm mające zdalne lokalizacje (np. magazyn) to typowy użytkownik UTM. Natomiast duże przedsiębiorstwa preferują NGFW ze względu na większą przepustowość i wydajność. Analitycy Gartnera potwierdzają, że korporacje mające duże budżety na zakup najnowszych technologii i środki na szkolenia pracowników, aby potrafili obsługiwać zaawansowane funkcje oferowane przez NGFW. Z kolei dla MŚP lepszym wyborem jest UTM ze względu na zintegrowane podejście do produktu (wszystko w jednym) oraz potrzebę tych firm korzystania ze wsparcia resellera czy integratora w zakresie zarządzania produktem.

Cześć ekspertów uważa, że kluczem do zrozumienia różnic między UTM i NGFW jest łatwość użytkowania produktów i kwestie wsparcia technicznego. Natomiast aspekty technologiczne i specyfikacje obu typów produktów okazują się podobne. Główne różnice koncentrują się wokół jakości produktu i jego funkcji, poziomu wsparcia technicznego ze strony producenta lub integratora.

Koszty posiadania (TCO)

Według najnowszych badań celem dużych przedsiębiorstw jest obniżanie kosztów działalności (dotyczy to nie tylko obszaru IT) poprzez konsolidację i uproszczanie. Dlatego obserwujemy się silną tendencję do integracji technologii bezpieczeństwa, czego przykładem są UTM oraz NGFW. W przypadku NGFW koszty TCO obejmują cenę bezpośrednich zakupów oraz koszty wdrożenia i eksploatacji. Chodzi więc nie tylko o cenę zakupu, ale również wydatki wynikające z używania urządzenia, jego konserwacji, utrzymania i eksploatacji. Urządzenia NGFW wydają się być świetną okazją dla korporacji, ale w rzeczywistości TCO dla tej klasy produktów jest wyższy niż w przypadku UTM. Małe i średnie przedsiębiorstwa wolą UTM ze względu na zintegrowaną architekturę i potrzebę wsparcia ze strony dostawcy. Niezależnie od tego, jak bogate w funkcje są UTM lub NGFW, elastyczne oraz łatwe w użyciu, generują koszty wynikające ze znacznej ilości czasu spędzonego przez inżynierów sieciowych na szkoleniach lub konfigurowaniu urządzeń, nawet jeśli one same zostały zamówione za rozsądną cenę.

285803W świetle strategii IT

Użytkownicy przeważnie entuzjastycznie podchodzą do UTM i NGFW, jednak wkrótce mogą uświadomić sobie, że nie wymagają wszystkich funkcji zabezpieczeń oferowanych przez urządzenia tej klasy. Funkcje, które są wymagane przez organizację, powinny być określone na długo przed zakupem, ponieważ będzie to wpływać na kryteria wyboru produktu i usług dodatkowych. Zazwyczaj usługi dodatkowe obejmują SSL, VPN, integrację z Active Directory, Quality of Service (QoS) i więcej. Niektóre UMT lub NGFW mają wszystkie te mechanizmy już wbudowane bez dodatkowych kosztów. Użytkownicy często nie włączają lub nie używają ich wszystkich, ponieważ nie pasują one do strategii IT organizacji.

Uzasadnienie inwestycji

Zawsze trzeba szukać kompromisu pomiędzy potrzebami zgłaszanymi przez IT a realiami budżetowymi, gdy uzasadnienie inwestycji jest kwestionowane. Eksperci z branży twierdzą, że organizacja musi mieć przynajmniej: zaporę sieciową, filtr treści stron internetowych, możliwość zarządzania pasmem, IPS, antywirusowa, antyspam oraz narzędzie generujące raporty. UMT i NGFW mają te wszystkie funkcje, a nawet więcej. Jeśli jednak organizacja zdecyduje się używać punktowych zabezpieczeń (każde urządzenia realizuje inne zadania związane z bezpieczeństwem), wtedy dla wszystkich urządzeń trzeba zsumować koszty utrzymania i obsługi, które mogą okazać się wyższe niż w przypadku zintegrowanych rozwiązań. Niezależnie od kosztów organizacji powinny przeanalizować architekturę sieci, aby określić, który typ zabezpieczeń będzie lepszy: pojedyncze urządzenia czy zintegrowane UTM lub NGFW. W porównaniu do rozwiązań punktowych, UTM oferują korzyści (ale mają również wady) wynikające z nabycia rozwiązania od jednego producenta. Architektura jest zintegrowana, a obsługa odbywa się z wykorzystaniem ujednoliconego interfejsu WWW. Rozwiązanie jest bardziej elastyczne w zapewnianiu różnych poziomów ochrony, raporty są spójne, a koszty mniejsze dzięki wyeliminowaniu potrzeby zakupu oddzielnych rozwiązań i usług.

Pojedynek

Tradycyjne zapory sieciowe analizują ruch sieciowy na podstawie takich kryteriów, jak źródłowy i docelowy adresy IP, numery portów i typ protokołu warstwy 4. Jednak dzisiejsze aplikacje często nie komunikują się z wykorzystaniem własnych numerów portów. Jest mnóstwo aplikacji, których ruch jest przesyłany przez tunele HTTP czy HTTPS. Więc nawet jeśli administrator zablokuje cały ruch z wyjątkiem komunikacji HTTP i HTTPS nie oznacza to jeszcze, że możliwe będzie tylko przeglądanie stron internetowych. Nadal wiele aplikacji nowej generacji będzie mogło swobodnie się komunikować. Dlatego niezbędne stało się, żeby wykrywać ruch aplikacji analizując zawartość pakietów. To doprowadziło do powstania koncepcji firewalli nowej generacji.

NGFW umożliwia kontrolowanie aplikacji i daje wgląd w to, co faktycznie przechodzi przez styk sieci lokalnej z Internetem. Ma wbudowaną listę tysięcy sygnatur aplikacji, dzięki której rozpoznaje ruch danej aplikacji, a administrator może definiować dla niego reguły. NGFW umożliwia tworzenia reguł w oparciu o takie kryteria, jak użytkownik aplikacji (można określić, do jakich aplikacji użytkownika ma uprawnienia, a do których nie). Przykładowo, pracownicy działu IT mogą mieć prawo do korzystania z protokołu FTP na serwerach znajdujących się w strefie DMZ, a wszyscy inni nie.

NGFW zazwyczaj są wyposażone w narzędzia raportujące, które pokazują aktywność sieciową użytkowników i aplikacji. Wielu producentów wyposażyło panele administracyjne w widgety pokazujące, np. informacje o 20 użytkownikach najwięcej korzystających z aplikacji P2P czy 10 najczęściej używanych aplikacji we wskazanym okresie. Możliwe jest również generowanie bardziej szczegółowych raportów, uwzględniających nazwy użytkowników i aplikacji, jak również narzędzia pokazujące na bieżąco informacje o ruchu w sieci.

O ile NGFW zostały zaprojektowane od podstaw, o tyle produkty klasy UTM wyrosły z tradycyjnych zapór sieciowych w procesie obudowania ich dodatkowymi warstwami zabezpieczeń, jak IPS, antywirus, itd. Co więcej, obecnie niektórzy producenci UTM wbudowują w nie zapory następnej generacji. Przedstawiciele Palo Alto, wiodącego dostawcy Next-Generation Firewall wskazują, że dzięki zbudowaniu od podstaw tej klasy zabezpieczeń są one znacznie wydajniejsze niż urządzenia UTM, do których dobudowywano różne funkcje. Z drugiej strony Fortinet, główny dostawca UTM, argumentuje, że jego rozwiązania mają już możliwości NGFW, a samo pojęcie NGFW określają jako slogan marketingowy. Zdaniem przedstawicieli tego producenta NGFW to prostu firewall zapewniający możliwości będące jedynie podzbiorem funkcji zapory UTM.

Zapory nowej generacji są coraz szybsze, a kompromis między szybkością działania i bezpieczeństwem zdecydowanie się zmniejsza, choć ciągle istnieje. Wykonując inspekcję na poziomie aplikacyjnym (cecha odróżniająca zapory nowej generacji od tradycyjnych), potrafią przenosić ruch z szybkością gigabitową. Jednak przy ruchu SSL, szybkość spada, a po włączeniu deszyfrowanie SSL – nawet dość istotnie.

SSL stanowi podwójny problem dla NGFW. Jeżeli ruch jest zaszyfrowany, to nie można wykonywać inspekcji na poziomie aplikacyjnym. Z kolei deszyfrowanie ruchu odbywa się kosztem wydajności. Wykonując deszyfrowanie SSL zapora działa jako proxy – przechwytuje zlecenia klienta i zastępuje certyfikat serwera swoim własnym. Ponieważ użytkownicy rzadko sprawdzają podmieniony certyfikat serwera, to myślą ze działają bezpośrednio z oryginalnym serwerem. W międzyczasie zapora deszyfruje i przeprowadza inspekcję zawartości ruchu. Z punktu widzenia architektury ważne jest pytanie: czy inspekcja ruchu odbywa się podczas „jednego przebiegu”, czy też wymagane jest wielokrotne przejrzenie tego samego strumienia ruchu? Inny problem to miejsce tej inspekcji. Dobrze, jeżeli jest ona prowadzona na poziomie zapory.

UTM kontra pojedyncze urządzenia

Z punktu widzenia menedżerów IT największą zaletą UTM jest uproszczenie czynności operacyjnych oraz zmniejszenie kosztów poprzez umieszczenie funkcji kilku urządzeń w jednym. Alternatywą dla UTM jest stosowanie wielu różnych urządzeń, z których każde realizuje jedną lub więcej funkcji. Na przykład, firma może mieć dedykowane urządzenia do filtrowania ruchu sieciowego, ochrony antyspamowej oraz wykrywania włamań i zapobiegania im. Każde urządzenie jest podłączone do sieci i oferuje część funkcjonalności urządzenia UTM. Pojawia się pytanie, jakimi kryteriami kierować się, aby wybrać między zintegrowanym rozwiązanie UTM a wdrożeniem urządzeń realizujących pojedyncze funkcje. Poniższe zestawienie wad i zalet UTM pomoże w dokonaniu wyboru.

Do zalet UTM można zaliczyć niższe koszty zakupu. Ogólnie rzecz biorąc zintegrowane rozwiązania kosztują mniej niż zakup wielu systemów dedykowanych. Niższe są również koszty utrzymania. Użytkownik kupuje bowiem tylko jedną umowę wsparcia dla wszystkich mechanizmów zabezpieczeń. Jedno urządzenie zajmuje mniej miejsca, co jest istotne, jeśli do dyspozycji administratorów jest niewiele miejsca na sprzęt sieciowy. Niższe jest również zużycie energii, ponieważ pracuje tylko jeden zasilacz i mniejsze są straty. Konfiguracja i instalacja są łatwiejsze, ponieważ wystarczy skonfigurować tylko jedno urządzenie. Mniej jest okablowania. Integracja zabezpieczeń w systemie UTM eliminuje również problemy z kompatybilnością.

285805Nie brakuje również wad. Zabezpieczenia w UTM są mniej wyspecjalizowane i zaawansowane. Takie urządzenie jest jak szwajcarski scyzoryk, zaprojektowany do wykonywania wielu zadań. Dlatego brakuje w nim niektórych bardziej specjalizowanych elementów, w które są wyposażone wyspecjalizowane narzędzia. Prawdopodobnie najważniejszym przykładem, gdzie dedykowane urządzenie może być lepsze, są mechanizmy antywirusowe i antyspamowe. UTM (a także NGFW) jest pojedynczym punktem awarii. Wadą każdego systemu zintegrowanego jest to, że kiedy dojdzie do awarii, całość przestaje działać. Dlatego urządzenia UTM są wyposażane w redundantne komponenty, a niektóre mogą pracować w konfiguracjach klastrowych.

Trzeba też pamiętać o ograniczeniach wydajnościowych. W urządzeniu UTM pojedynczy procesor realizuje wiele zadań na raz, może być przeciążony przy wzrostach ruchu w sieci lub podczas trwania kilku jednoczesnych ataków. Na taką ewentualność niektóre urządzenia mają wbudowany mechanizm wyłączający wybrane usługi w celu zachowania integralności urządzenia, ale odbywa się to kosztem obniżenia bezpieczeństwa. Zwykle można ten problem pokonać, kupując urządzenia o znacznie większej mocy obliczeniowej niż wydaje się, że jest potrzebna. To oczywiście oznacza dodatkowe koszty.

NGFW nie dla wszystkich

Urządzenia NGFW łączące funkcje zapory sieciowej, VPN i IPS projektowano z myślą o uzyskaniu wysokiej przepustowości.

Rozwiązania NGFW to nie jedyna opcja, jeśli chodzi o wybór zapory sieciowej na najbliższe 2 do 5 lat. Nie można zapominać, że płacenie za dodatkową funkcjonalność, z której firma nie będzie korzystać, jest nieuzasadnione w sensie finansowym. Jeśli organizacja używa niewielką liczbę aplikacji, powinna dwa razy pomyśleć przed zakupem NGFW. Czy administratorzy tworzą złożone reguły oparte na tożsamości, które znajdą zastosowanie w NGFW? Czy ich przeniesienie do zapory sieciowej nowej generacji będzie lepszym rozwiązaniem?

Decyzja o wyborze NGFWW powinna wynikać z konieczności poddania aplikacji inspekcji oraz kontroli. Ten kierunek jest coraz częściej widoczny. Trzeba mieć możliwość przełożenia decyzji organizacyjnej na język technologii (dział płac ma dostęp do Skype, pracownicy IT mogą dodatkowo korzystać z protokołu FTP, a handlowcy mają zdalny dostęp do wybranych zasobów sieci lokalnej). Bez NGFW jest to trudne do wykonania zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.