UTM - zintegrowane bezpieczeństwo
- Tomek Janoś,
- 15.12.2008
Jak wybrać zaporę UTM klasy enterprise
Kompleksowa ochrona wobec zagrożeń
Wydajność jest punktem wyjściowym, gdyż mechanizmy UTM spełniające tak specyficzne wymagania wydajnościowe, odpowiednio kosztują. Zapory UTM, które pozwalają na skalowalność przez uzupełnienie kasety lub dodanie systemów w konfiguracji rozkładania obciążeń typu aktywny-aktywny, są szczególnie atrakcyjne, gdy w grę wchodzi wydajność. Lepiej rozpoczynać z systemem, mogącym pracować tak szybko, jak tego się wymaga w dniu, w którym zostanie włączony, z możliwością uaktualnienia później.
Mechanizmy UTM zajmują czołowe miejsca na liście kryteriów wyboru. Niewiele UTM oferuje wybór w zakresie produktów minimalizowania zagrożeń, takich jak rozwiązania antywirusowe od wielu dostawców. Większość zamyka ten problem w obrębie jednego dostawcy.
Integracja sieciowa obejmuje te aspekty UTM, które pozwalają na bezpieczne włączenie urządzenia do istniejącej sieci. Na przykład UTM klasy enterprise, aby mogły być zintegrowane z istniejącą infrastrukturą, prawdopodobnie będą potrzebować pewnego wsparcia protokołów dynamicznego routingu, takich jak OSPF (Open Shortest Path First). Obsługa wirtualnej sieci LAN czy WAN, rozszerzalność interfejsów sieciowych (niezbędna z upływem czasu), wszystko są to sieciowe mechanizmy integracyjne.
Zarządzanie jest jedną z najtrudniejszych składowych oceny zapory UTM, ponieważ trudno jest uzyskać wiedzę, czy zarządzanie jest dobre czy złe, zanim nie zdobędzie się większego doświadczenia z danym produktem. W produktach UTM jednym z ważniejszych mechanizmów administrowania jest zdolność wprowadzania poszczególnych funkcji UTM do gry w sposób elastyczny i kontrolowany. System zarządzania powinien dopuszczać stosowanie różnych profili dla tego samego mechanizmu UTM. Na przykład: IPS może być skonfigurowany dość liberalnie dla użytkowników wewnętrznych korzystających z internetu, natomiast już bardziej restrykcyjnie dla gości wchodzących z różnych podsieci.
Wdrażanie UTM w dużym przedsiębiorstwie wymaga innego podejścia niż analogiczny proces w MSP. Prezentujemy kilka zaleceń pozwalających uniknąć większych problemów w sieci przy wdrażaniu UTM.
1. Nie upakowywać wszystkiego w jednej skrzynce
Ważne jest logiczne rozproszenie funkcjonalności zapory ogniowej, głównie z powodu trudności utworzenia pojedynczej, skoordynowanej polityki obowiązującej w całym przedsiębiorstwie. W ramach pojedynczej polityki trudno będzie obsługiwać wiele stref kontroli z różnymi regułami zapór ogniowych, regułami translacji adresów sieciowych czy tunelami VPN.
2. Starannie sprawdzać wydajność
Wydajność jest jednym z największych problemów w urządzeniach UTM. W miarę włączania nowych funkcji, wydajność ostro spada. Dostawcy produktów bezpieczeństwa nie ukrywają kosztów związanych z wydajnością, ale też nie pokazują jasno, jak włączanie poszczególnych funkcji UTM wpływa na wydajność systemu. Dlatego dobrze jest przetestować konfigurację UTM, aby sprawdzić, czy spełnia oczekiwania wydajnościowe. Spadek szybkości o 75 do 90% nie jest zjawiskiem rzadkim. Należy też pamiętać, że np. reguły IPS stają się coraz bardziej złożone w miarę upływu czasu i mechanizm ten będzie stawał się stopniowo wolniejszy.
3. Zarządzanie w dłuższym horyzoncie czasowym
Zapory UTM rejestrują dużo informacji o ruchu przechodzącym przez nie. Przedsiębiorstwa coraz częściej poszukują możliwości przechwytywania i zachowywania zapisów logów przez miesiące lub lata. Trzeba zaplanować dedykowany serwer zarządzania z odpowiednią pamięcią dyskową, pamięcią operacyjną i dostatecznie silnym CPU, aby móc gromadzić i obsługiwać te informacje. Chociaż niektórzy dostawcy dopuszczają możliwość obsługi administrowania za pośrednictwem GUI przeglądarkowego lub przez serwer zarządzania współrezydujący z zaporą ogniową, należy raczej decydować się na wydzielony i odpowiednio mocny system zarządzania.
4. Dostępność i mechanizmy skalowalności
W miarę jak zapora ogniowa wykonuje coraz więcej funkcji i staje się coraz ważniejsza dla poprawnych operacji sieciowych, zapewnienie wysokiej dostępności i skalowalności także nabiera coraz większego znaczenia. Ponieważ wydajność jest wielce prawdopodobnym wąskim gardłem w UTM, konfiguracje redundantne typu aktywny-aktywny są bardziej atrakcyjne niż aktywny-pasywny, ale takie konfiguracje są dużo trudniejsze do zbudowania i testowania. Symulowanie wszystkich możliwych uszkodzeń i upewnienie się, że zostały przetestowane we wszystkich możliwych stanach klastra, może być zadaniem bardzo czasochłonnym.
5. Uwzględniać konieczność rozpoznania złożoności konfiguracji
Trzeba być przygotowanym na dodatkową rundę szkoleń w zakresie zarządzania systemem i konfigurowania, ponieważ wiedza o zaporze ogniowej przedsiębiorstwa może być niewystarczająca do prawidłowego skonfigurowania UTM, zwłaszcza w przypadku dodatków do UTM, takich jak antywirus czy IPS. Terminologia i pokrycie protokołów są bardzo zróżnicowane w różnych produktach i proste zaznaczenie opcji kontrolnej jakiegoś mechanizmu UTM może wymagać wielu godzin testu, aby ją do końca zrozumieć.