Problem wydajności UTM

Z zewnątrz zapora ogniowa UTM wygląda jak amalgamat różnych mechanizmów bezpieczeństwa w jednej skrzynce. Istnieją znaczące ograniczenia wynikające z połączenia zapór ogniowych i usług bezpieczeństwa związanych z aplikacjami. Wiedza o tym jak te elementy zostały wymieszane pozwoli zrozumieć, jakie są realne możliwości UTM.

Myśląc o zaporach ogniowych UTM, trzeba mieć świadomość, że większość firewalli używa do kontrolowania przepływu kontekstowego filtrowania pakietów (stateful packet filtering).

Z początkiem lat 90. konkurencja w branży zapór ogniowych - pomiędzy dostawcami rozwiązań filtrowania pakietów i proxy - zakończyła się zwycięstwem obozu filtrowania: przede wszystkim firmy Check Point, ale dzisiaj już także Cisco, Sonic Wall i Juniper. Firmy te opanowały lwią część rynku zapór ogniowych. Pozostałą część przejęło głównie dwóch dostawców firewalli typu proxy - Secure Computing i Watch Guard. Jest wiele powodów, aby optować za filtrowaniem pakietów - jednym z najważniejszych jest szybkość działania: filtry pakietów mogą dotrzymywać kroku gwałtownie zwiększającej się szybkości połączeń internetowych, podczas gdy zapory proxy za tym nie nadążają.

Szybkość działania filtrów pakietów związana jest głównie z faktem, że nie muszą one śledzić i kontrolować każdego bitu informacji przez nie przechodzących. Zapory ogniowe z filtrowaniem pakietów operują na dość niskim poziomie stosu TCP/IP, wykonując większość swojej pracy na poziomie IP i - w pewnym zakresie - na poziomie TCP, przy jedynie okazjonalnych "wypadach" na poziom aplikacyjny w czasie ustanawiania połączenia i kontrolowania wszystkich odwołań do poziomu aplikacyjnego. Oznacza to, przynajmniej w teorii, że atakujący może przemycać więcej szkodliwych elementów poziomu aplikacyjnego przez zaporę ogniową filtrującą pakiety niż przez proxy. Z drugiej strony zapora proxy jest wolniejsza, ponieważ ma więcej pracy do wykonania na wszystkich poziomach stosu.

Ze względu na wydajność zapory ogniowe z filtrowaniem pakietów mogą być wykonywane w sposób niewiarygodnie tani. Wszyscy wiodący dostawcy filtrowania pakietów oferują produkty kosztujące poniżej tysiąca dolarów, mogące obsługiwać ruch do 100 Mb/s, ponieważ nie wymagają zbyt wydajnej CPU.

Bezpieczeństwo w branży zapór ogniowych jest jednak nadal tak samo ważne jak szybkość. Oba obozy doszły więc do pozycji kompromisowych. Dostawcy zapór ogniowych z filtrowaniem pakietów oferują lepszy wgląd w warstwę aplikacyjną, w celu przechwytywania ataków związanych z tym poziomem. Zapewniają tym samym mechanizmy bezpieczeństwa już oferowane przez zapory proxy. Jednocześnie dostawcy proxy w celu osiągnięcia większej wydajności przycięli coś tu i tam, czasami redukując zdolność swoich produktów do pełnej kontroli warstwy aplikacyjnej.

Trudności pojawiają się wtedy, gdy dokładane są mechanizmy UTM. Chociaż dodatki UTM mogą znaleźć się na każdym poziomie, te o największej wartości dla zarządców sieci wymagają odniesienia do poziomu aplikacyjnego: antywirus, antyspam są umiejscawiane na poziomie aplikacyjnym, a IPS także wymaga odniesienia do tego poziomu. Jeśli dodamy do tego infrastrukturę antywirusa i antyspamu: wiele dziesiątek tysięcy sygnatur (wszystko to pracujące na pojedynczym strumieniu danych), to krzywa wykorzystania CPU i pamięci podniesie się bardzo stromo.

Wynikiem powyższego jest mocne uderzenie w wydajność. W różnych testach dodanie mechanizmów UTM do standardowej zapory ogniowej powodowało zazwyczaj dziesięciokrotne obniżenie wydajności. Jeżeli jest więc ona używana do przepływu 1000 Mb/s, to przy włączonych dodatkowych mechanizmach UTM można być szczęśliwym, uzyskując 100 Mb/s.

W celu przeciwdziałania takim wydajnościowym haraczom dostawcy zaczęli stosować różne triki. Jednym z powszechnych jest wymaganie prekonfigurowania wszystkich aplikacji na zaporze ogniowej wskazując, które z nich będą skanowane i na którym porcie pracuje każda z nich. Jest to niekłopotliwe jedynie w takich sytuacjach, jak wchodząca poczta SMTP, która jest przypisana do określonego portu i zmierza do określonego systemu. Jednak z wyjątkiem małego biznesu, gdzie zapora UTM jest jedyną ochroną przed zagrożeniami, skanowanie wchodzącego ruchu SMTP pod kątem wirusów jest jednym z najmniej użytecznych mechanizmów zapory ogniowej UTM. Administratorzy potrzebują dodatkowej ochrony na możliwie wszystkich drogach, którymi użytkownik końcowy otrzymuje informacje - ruch webowy, ruch z komunikatorów, osobiste skrzynki, sprawdzanie przez pracowników w czasie pracy czy aplikacje P2P. W rezultacie zapory ogniowe UTM mogą zawieść, kiedy są najbardziej potrzebne.

Główne trendy na rynku UTM dla przedsiębiorstw

Na ogół wszystkie zapory ogniowe przygotowane są do zunifikowanego zarządzania zagrożeniami. Obecnie niewielka jest różnica pomiędzy zaporą UTM a typową zaporą ogniową. Dostawcy tych ostatnich włączyli do swoich rozwiązań pewne mechanizmy UTM. Chociaż produkty z górnej półki mogą nie zawierać nic więcej, niż zagnieżdżone funkcje IPS i VPN, termin "zapora ogniowa UTM" stał się właściwie zbyteczny. Jeżeli jest to najnowszy firewall, to potrafi coś więcej, niż tylko proste blokowanie i dopuszczanie ruchu.

Co więcej, UTM niekoniecznie musi zawierać zaporę ogniową. Rynek UTM rozszerza się obejmując produkty, które właściwie nie zawierają typowych mechanizmów zapory ogniowej. Niektórzy dostawcy dostarczają na rynek produkty, w których nie ma zapory ogniowej, ale za to silny zestaw mechanizmów ograniczania zagrożeń, w tym antywirus, antymalware, filtrowanie zawartości czy analiza ruchu. Poprzez połączenie tych wszystkich - z wyjątkiem zapory ogniowej - mechanizmów w jeden system, ich dostawcy mogą skupiać się na minimalizowaniu zagrożeń i projektować sprzęt, który spełnia takie wymogi najlepiej.

Nowe produkty mają zazwyczaj nową architekturę. Większość zapór ogniowych UTM swoje zadania w niektórych obszarach wykonuje nie najlepiej (przykładem jest tu antyspam i antywirus), ponieważ związane z tym sprzęt i oprogramowanie nie było pierwotnie projektowane do spełniania potrzeb UTM. Na przykład: bez miejsca na dysku zapora UTM nie może zapewniać kwarantanny spamu czy wirusów. Bez połączenia z korporacyjnymi usługami katalogowymi personalizacja użytkowników i zróżnicowane ustawienia dla nich nie mogą być stosowane. Chociaż dostawcy o ustalonej pozycji rynkowej nie posuwają się szybko do przodu w tej dziedzinie, na rynku pojawiają się nowe produkty, które odzwierciedlają nowe myślenie o sprzęcie i oprogramowaniu spełniającym wymagania zapór UTM, lepiej odpowiadającym na zagrożenia.

Ewoluują też modele biznesowe dostawców. UTM zmienia model z koncentrującego się na bezpośrednim zysku ze sprzedaży na nastawiony na usługi. Oznacza to, że zapory ogniowe mogą być dostępne nawet za mniejsze pieniądze, ale też realnie użyteczne będą po podpisaniu umowy wsparcia, która zapewni stałe uaktualnianie. Programowe zapory ogniowe dla MSP mogą pojawić się na rynku nawet bezpłatnie - ich dostawcy wychodzą z założenia, że będą one generować zyski pośrednio, poprzez usługi wsparcia technicznego i opłaty subskrypcyjne.