Dobry UTM - czyli właściwie jaki?

Rozwiązania typu Unified Threat Management, czy też po prostu „UTM”, stały się pierwszą linią obrony przed cyberzagrożeniami dla wielu organizacji. Po czym jednak poznać dobry produkt tego typu i jak wybrać odpowiedni dla potrzeb danej firmy?

Czemu rozwiązania typu UTM zawdzięczają swoją dużą popularność? Przede wszystkim olbrzymiej uniwersalności. W ramach jednego urządzenia oferują bogaty zestaw funkcji, takich jak m.in. firewall, IPS i VPN, chroniąc tym samym przed szerokim wachlarzem zagrożeń. Można powiedzieć, że przyświeca im idea „jeden, by wszystkimi rządzić” i w większości przypadków sprawdza się to bardzo dobrze. Jednak „uniwersalne” nie oznacza jeszcze, że coś sprawdzi się w każdej sytuacji, ani że wszystkie produkty tego typu są takie same.

Wydajność modułów bezpieczeństwa

Gdzie szukać najważniejszych różnic w przypadku rozwiązań UTM? Przede wszystkim w wydajności i funkcjonalności. Większość administratorów intuicyjnie w pierwszej kolejności zwróci uwagę na ten drugi aspekt, szukając produktu, który da im największe możliwości. Niestety w ten sposób wielu z nich zupełnie nieświadomie może wpaść w pułapkę. Dlaczego? Ponieważ po uruchomieniu wszystkich dodatkowych funkcji, za które nieraz przyszło słono zapłacić, może się okazać, że nagle nie da się normalnie korzystać z sieci, która zaczęła działać w ślimaczym tempie.

Właśnie dlatego w pierwszej kolejności należy przestudiować szczegółowo specyfikację poszczególnych rozwiązań i porównać ich wydajność. Szczególnie należy zwrócić uwagę na wydajność poszczególnych modułów bezpieczeństwa, a nie tylko maksymalną przepustowość czy liczbę równoległych sesji dla danego produktu. Wynika to stąd, że to właśnie tam mogą się kryć duże różnice. Przykładowo, urządzenie z modułem IPS działającym na poziomie jądra systemu marki Stormshield, będzie sobie radziło lepiej z analizą pakietów i blokowaniem ataków niż alternatywne rozwiązania. Jeśli wziąć pod uwagę, że IPS jest jedną z podstawowych funkcjonalności każdego UTM-a, łatwo zrozumieć dlaczego wydajność tego konkretnego modułu jest o wiele bardziej istotna niż hipotetyczna maksymalna wydajność samego produktu

Certyfikaty niezależnych instytucji

Oczywiście sama wydajność to nie wszystko. Liczy się także bezpieczeństwo i jest to kolejny aspekt, na którym nie warto oszczędzać. Jednak po czym rozpoznać czy dany UTM jest bezpieczny? Jednym ze sposobów, aby to zweryfikować, jest wybór rozwiązań posiadających odpowiednie certyfikacje. Bardzo dobrym wyznacznikiem są w szczególności certyfikaty NATO RESTRICTED oraz EU RESTRICTED, które oznaczają, że dany produkt spełnia rygorystyczne wymagania wspomnianych organizacji i został dopuszczony do wykorzystania w ramach ich infrastruktur. To gwarancja nie tylko bezpieczeństwa, ale i zgodności z obowiązującymi na terenie Unii Europejskiej przepisami. Takimi certyfikatami mogą się pochwalić np. produkty marki Stormshield.

Koszt utrzymania urządzenia w przyszłości

Kolejną kwestią wyboru rozwiązania UTM pozostaje cena. Jest to czynnik dość przyziemny, ale bardzo istotny – mając określony budżet na ochronę sieci to sam fakt na ile efektywnie uda się nam go wykorzystać ma wymierne przełożenie na jej skuteczność. Oczywiście w tym konkretnym wypadku nie ma prostych odpowiedzi, a na pewno nie jest nią zakup najtańszego produktu o określonej specyfikacji. Jeśli mamy oszczędzać na bezpieczeństwie, to trzeba to robić z głową, dokładnie analizując nasze priorytety oraz weryfikując, co w danej cenie dostajemy. O takich czynnikach jak jakość wsparcia technicznego czy interfejsu zarządzania nie dowiemy się ze specyfikacji rozwiązania, a warto pamiętać, że także one przekładają się na jego finalną wartość.

Jest jednak jedna uniwersalna wskazówka w kontekście opłacalności, która zastosowanie ma zawsze: analizując koszt danego rozwiązania należy brać pod uwagę nie tylko moment jego zakupu, ale także koszt utrzymana w kolejnych latach. Producenci drukarek bardzo często sprzedają sprzęt za bezcen, żeby później zarobić na materiałach eksploatacyjnych. Podobnie wielu producentów rozwiązań UTM decyduje się na obniżenie ceny samego produktu, by później zrekompensować to sobie na wznowieniach licencji w kolejnych latach. Zakup rozwiązania UTM to inwestycja na kilka lat, w związku z tym trzeba patrzeć na nią długoterminowo, a nie tylko przez pryzmat „tu i teraz”.

Funkcjonalności

Wreszcie nie wolno zapominać o funkcjonalnościach, jednak trzeba podchodzić do tej kwestii z głową. Zamiast patrzeć przez pryzmat ludowych mądrości pokroju „im więcej, tym lepiej” albo „a może kiedyś się przyda”, lepiej przygotować listę funkcji, które rzeczywiście są nam potrzebne i to na nich się skoncentrować. W końcu czy warto dopłacać do DLP pracującego na urządzeniu brzegowym, jeśli pracownik nadal może skorzystać z USB i skopiować wrażliwe dane ze stacji roboczej? Nie, szczególnie jeśli miałoby się to obyć kosztem funkcji, których rzeczywiście potrzebujemy. Dobry UTM to przede wszystkim taki, który jest szybki, bezpieczny i dostosowany do potrzeb danej organizacji. Nie ma tutaj jednej prostej odpowiedzi, bo choć w teorii większość urządzeń tego typu pełni bardzo podobną funkcję, to jednak diabeł tkwi w szczegółach, a te w praktyce potrafią przekładać się na gigantyczne różnice w codziennym użytkowaniu. Na szczęście trzymając się kilku prostych reguł można w prosty sposób znaleźć taki produkt, który nie tylko świetnie sprawdzi się w swojej roli, ale także zmieści się w założonym budżecie.