UTM klar for de store oppgavene

UTM klar for de store oppgavene

Våre tester viser at unified threat management-løsninger ikke lenger kun egner seg for mindre selskaper.

It-administratorer ved små og mellomstore bedrifter liker de såkalte unified threat management-enhetene – brannmurer som byr på beskyttelse mot fiendtlig kode, innholdsfiltrering, fjerning av søppelpost og forhindring av angrep. Å benytte seg av en slik enhet i stedet for flere ulike dedikerte enheter reduserer kostnader og forenkler konfigurasjonen.

Men det å velge om hvorvidt og hvor man skal ta i bruk UTM-løsninger i en større bedrift er en mer komplisert og vanskelig avgjørelse. Ideen om å benytte ett enkelt punkt hvor all trafikk passerer som et opplagt sted å bekjempe trusler virker ikke når et nettverk har dusinvis, hundrevis eller tusenvis av lokasjoner. Og ettersom ytelse er en kritisk faktor i større nettverk, vil gjerne fornuftige nettverksadministratorer forsøke å distribuere trusselbeskyttelse i stedet for sentralisere det. Grunnen er selvsagt å redusere muligheten for at det skal oppstå flaskehalser i ytelsen.

Type og kvalitet på funksjonaliteten som man ofte ser i en UTM-løsning for mindre bedrifter, kan også være av mindre interesse for en stor bedrift hvor kravene er strengere og sikkerhetsarkitekturen er mer kompleks. For eksempel blekner antispam-funksjonaliteten i UTM-løsninger i forhold til de enkeltstående og dedikerte løsningene for de store selskapene.

Med så store behovsforskjeller mellom mindre og store selskaper, er det virkelig en plass for UTM-løsninger for de store? Svaret er helt klart ja! Grunnene er redusert kompleksitet, forenklet administrasjon og økt fleksibilitet.

Redusert kompleksitet

Administratorer for større nettverk har lenge søkt etter å inkludere trusselbeskyttelse, spesielt IDS/IPS-funksjonalitet (intrusion detection/prevention systems), både i kjernen og i utkanten av deres nettverk. Men kompleksiteten ved å sette enkeltstående IDS/IPS-bokser i nettverket har medført at de må gå forsiktig frem. Å bygge en brannmur-sandwich med lastbalanserere som omslutter en kjerne av brannmurklynger er ikke vanskelig å forstå, men å skalere denne sandwichen opp med et lag av beskyttelse øker dramatisk kompleksiteten i arkitekturen og kan gi ustabilitet.

En enkel sandwich anses som vitenskap av nettverksarkitekter, men å legge på flere lag bringer det hele fra håndverk til kunst. Prosjektets vanskelighetsgrad stiger dramatisk og åpner for feil og problemer.

Såkalt Enterprise UTM med integrert IDS/IPS kan gi nettverksansvarlige ekstra sikkerhet gjennom hele nettverket uten den massive økningen i kompleksitet som enkeltstående IPS-løsninger kan bringe med seg.

Forenklet administrasjon

Det er hyggelig å tenke på at konseptet med en enkeltstående UTM-løsning kan håndtere alt fra IP-ruting til IDS-alarmer, men sikkerhetsansvarlige i større bedrifter ønsker seg gjerne ulike administrasjonssystemer av en grunn: Ulike mennesker har ansvar for forskjellige typer av trusler og konfigurasjon.

Men en viss grad av administrasjonsintegrering kan gjøre det enklere å håndtere disse ulike funksjonene. For eksempel må hver administrasjonskonsoll ha ulike nettverksobjekter som benyttes for å definere policyene. Dette kan være informasjon som her er mine e-post-servere, her er mine brukere, dette er gjestenettverket eller dette er hvor internett er.

Hver gang de samme objektene må skrives inn i et nytt administrasjonsverktøy, og hver gang disse objektene oppdateres og justeres, er det mulighet for menneskelig feil eller feilkommuniksajon som kan opprette et sikkerhetshull. En enkelt administrasjonskonsoll som deler objekter på tvers av ulike funksjoner forenkler den komplekse administrasjonen.

Ett enkelt sted for administrasjon er spesielt verdifullt når brannmur, VPN og IDS/IPS behandles sammen ettersom alle de tre funksjonene handler utifra den samme policyen. Hver av disse funksjonene trenger å ha en form for oversikt over topologien i nettverket, hvilke applikasjoner som kjører på ulike servere og hva forskjellige grupper av brukere får lov til å gjøre. Helt separat administrasjon av alle disse funksjonene gjør koordinert policyvedlikehold vanskelig, om ikke helt umulig.

Et enkeltstående UTM-basert administrasjonsverktøy gir realistisk finjustering av policyer på tvers av alle de tre funksjonene, noe som øker den totale sikkerheten.

Bedre fleksibilitet

Sikkerhetsarkitekter i større bedrifter fnyser gjerne av overfloden av funksjoner som antivirus, antispam, antimalware og antiphishing som bygges inn i UTM-løsninger for mindre bedrifter. Med en tankegang om å ha det ypperste av det ypperste, og tilsvarende store budsjetter, er de knapt interesserte i å aktivere IPS-funksjonalitet deres eksisterende brannmurer. Men det er alltid spesifikke situasjoner hvor muligheten til aktivere for eksempel antivirus kan være en stor fordel.

Å ha flere sikkerhetsfunksjoner liggende latent i store brannmurer som kan aktiveres ved ett museklikk gir nettverksadministrator økt fleksibilitet, noe som er av stor verdi. Det kan raskt bli en livredder å kunne blokkere innkommende virus i en UTM-brannmur hvis det primære antivirusverktøyet plutselig stopper på grunn av maskinvare-, programvare- eller oppdateringsfeil.

Man bør også ta i betraktning kravene til nettverkstilgang for gjestebrukere. De fleste større selskaper har valgt HTTP-proxier for å gi beskyttelse i form av innholdsfiltrering og antiphishing, men vil la gjestebrukere velge en annen type beskyttelse og unngå byrden med å være sikker på at det hele samvirker med proxyen. Det kan være en enklere og mer effektiv måte å aktivere disse mekanismene i en UTM-enhet for slike nettverk.

Fleksibiliteten med å bringe sikkerhetstjenester inn og ut av systemet på en raskt måte ved hjelp av UTM-brannmur imøtekommer trusselbildet på en god måte – selv om de aktuelle tjenestene ikke skulle brukes så ofte.

Av Joel Snyder, Network World

Les om:

Sikkerhet