UTM против NGFW – один оттенок серого

от автора

Сегодня наткнулся на блог Эндрю Платона, президента компании Anitian Enterprise Security, человека, имеющего 20-летний стаж работы в сфере информационной безопасности. В своем блоге Эндрю поднимает достаточно интересную тему, касающуюся концепции «Межсетевых экранов следующего поколения», так называемых NGFW. По его словам, промышленные аналитики, такие, как Gartner, и производители межсетевых экранов, подобные Palo Alto, утверждают, что NGFW изменит рынок систем сетевой безопасности и вытеснит традиционные средства защиты доступа или унифицированных управлений угрозами Unified Threat Management. Кроме того, производители NGFW позиционируют свои продукты как “следующий большой шаг” в эволюции систем сетевой безопасности.

Поскольку исходный вариант темы – на английском языке, привожу под хабракатом перевод.

Так почему же NGFW столь революционный? Что отличает NGFW от UTM?

Ничего. Нет никакого различия между UTM и NGFW. Это те же технологии с теми же возможностями, которые стали продавать и рекламировать как разные. Более того, в сущности, межсетевые экраны следующего поколения (NGFW) не имеют ничего уникального или революционного. Это обычные межсетевые экраны, у которых был расширен набор функциональных возможностей. Другими словами, NGFW – это UTM.

Что действительно интересно, так это то, как Gartner и вендоры выстроились в линию, чтобы создать целый класс сфабрикованных продуктов. Откровенно говоря, это древняя тактика — менять политические приоритеты. Еще со времен Римской империи политики прибегали к этому. Итак, суть процесса довольно проста:

1. У Вас есть продукт (или кандидат), который не совсем отвечает конкурентным требованиям. Ему недостает функциональности или же есть негативные аспекты.
2. Вместо того, чтобы принять меры непосредственно к этим недостаткам, вы заводите новую беседу, чтобы отвлечь внимание от отрицательных свойств.
3. Вы сосредотачиваете обсуждение исключительно на «новой» беседе и отклоняете другую проблему как устаревшую, несовременную или же как таковую, что актуальна для незначительной части общества.
4. Скормите все это эхо-камере СМИ (или промышленным аналитикам) и долго, до отвращения говорите на эту самую тему.

Затем наблюдаете, как старая тема растворяется в новой, и все желают обсуждать новые вопросы, а дискуссии же о старой проблеме считают бесполезными. Эхо-камера СМИ, или, в данном случае — промышленные аналитики Gartner, критически настроены к этой работе. Вам необходимо спозиционировать вашу новинку таким образом, чтобы память о старой проблеме канула в лету.


Решения вендоров традиционных систем сетевой и информационной защиты не соответствовали тенденциям унифицированного управления угрозами UTM, когда тот появился на рынке. Их зависимость от использования старого кода и корпоративных клиентов подавляли инновации. Первые попытки прорваться на рынок мультифункциональных защитных устройств были достаточно неэффективными. CheckPoint и Juniper — тому примеры. Их ранние устройства защиты данных были топорными и недостаточно мощными. Они значительно уступали более инновационным продуктам таких компаний, как Fortinet и Astaro.

Кроме того, эти, так же как и некоторые новые подающие надежды компании, вроде Sourcefire и Palo Alto Networks, не имели интеллектуальной собственности, чтобы конкурировать с таким разнообразием возможностей. Им недоставало хорошего антивируса, анти-спама или «движка» URL-фильтрации.

По существу, вместо того, чтобы конкурировать, они просто перепрофилировались. Первым шагом стало обособление UTM в небольшой деловой рынок. Gartner, никогда не упускающий возможности продать очередные отчёты, скоро представил категорию корпоративного межсетевого экрана (Enterprise Firewall), которая, конечно, была предназначена для всех этих устройств следующего поколения. UTM низвели к дискуссиям о малом бизнесе и управляемых услугах. Следующий шаг: представить NGFW как уникальный, непохожий на другие, особенный межсетевой экран. Таким образом, NGFW стал следующей ступенью после протокольного анализа пакетов с сопровождением состояния на сервере. Некоторые вендоры зашли столь далеко, что объявили, будто алгоритм защиты от несанкционированного доступа методом проверки пакетов с сопровождением состояния (stateful packet inspection) их NGFW был абсолютно уникальным и новым. Что, конечно же, было не так.

Удивляет то, насколько хорошо эта индустрия приняла эту уловку. Производители изменили объект разговора о межсетевых экранах, в действительности не изменяя технологий. Gartner укрепил общее представление, дабы убедить потребителей. И потребители проглотили наживку. Маркетинг NGFW был чрезвычайно эффективным.

Дабы не быть голословным, рассмотрим набор функциональных возможностей устройств таких брендов, как Palo Alto Networks, CheckPoint, Sourcefire и McAfee, которые являются, так называемыми NGFW, т.е. межсетевыми экранами следующего поколения. Пропишите в Google «next generation firewall» и убедитесь, что эти четыре продукта всплывут первыми. Теперь впишите «unified threat management” (унифицированное управление угрозами), и вы увидите SonicWall, WatchGuard, Fortinet, и Sophos (Astaro) и еще некоторых небольших производителей. Сравним эти продукты. Возьмем, к примеру, Juniper и Cisco, поскольку они хорошо известны и к тому же тяготеют к игре на оба фронта.

Заметили что-нибудь? Функционал тот же. Единственное заметное различие — это включение защиты электронной почты. В продукции Palo Alto Network и Sourcefire этой защиты нет. Но это можно аргументировать тем, что их антивирусные программы и другие программные и аппаратные системы обеспечивают защиту электронной почты.

Конечно, вендоры NGFW будут утверждать об уникальности и ссылаться на то, что их продукты способны обнаружить приложения на всех портах. В действительности же подобные заявления превращаются в пустой звук, как только вы осознаете, что это всего лишь очередной маркетинговый ход. К примеру, Palo Alto утверждает, что их AppID уникален. Вовсе нет. Еще с давних времен другие продукты поддерживают функцию идентификации приложений. Sourcefire подчеркивает, что их система предотвращения вторжений (IPS), которая представлена в NGFW, не имеет аналогов. Это не так. Огромное количество продуктов имеют системы сетевой и компьютерной безопасности, обнаруживающие вторжения или нарушения безопасности и автоматически защищающие от них. Декодирование, аутентификация, проверка контента – ни одна из этих функций в системах защиты не является уникальной как для UTM, так и для NGFW-платформ.

Схожесть UTM и NGFW не значит, что все эти продукты идентичны по своим возможностям. У каждого изготовителя есть свои преимущества и недостатки. Качество и эксплуатационные характеристики этих продуктов в значительной степени различаются. Однако, с точки зрения исключительно их функционала, они абсолютно одинаковы. Их различия в подходе к проверке приложений, антивирусу или системам предотвращения вторжений могут объяснить преимущества их производительности или точности, но это не изменяет тот факт, что базовый набор функциональных возможностей у всех один и тот же.

Теперь обдумайте определение NGFW, которое дала компания Gartner в своем Магическом квадранте для корпоративных межсетевых экранов 14 декабря 2011.

Так как рынок межсетевых экранов развивается, начиная средствами защиты с сопровождением состояния и заканчивая межсетевыми экранами следующего поколения, иные функции безопасности (как система предотвращения вторжений) и полностековое инспектирование трафика (full-stack inspection), включая приложения, также будут обеспечены в NGFW. Рано или поздно рынок NGFW включит в себя большинство отдельных устройств с системой предотвращения вторжений. Однако, это не случится сиюсекундно, поскольку многие вендоры корпоративных межсетевых экранов имеют в своей продукции IPS, что делает их конкурентоспособными с автономными IPS-решениями, и несомненно противодействуют интегрированию функций и вместо этого совмещают их в одном устройстве. Несмотря на то, что межсетевой экран/VPN и IPS (а иногда и URL-фильтры) конвергируют, другие продукты безопасности — нет. Продукты «всё-в-одном» (all-in-one) или продукты унифицированного управления угрозами (UTM) подходят для предприятий малого и среднего бизнеса, но не для корпораций: Gartner прогнозирует, что это разделение продлится по крайней мере до 2015 года. Межсетевые экраны, которые предназначены для филиалов компаний, становятся специализированным продуктом, отделяясь от продуктов для малого и среднего бизнеса.

Возникает множество вопросов, связанных с этим определением. Во-первых, промышленность не развивается от межсетевых экранов с сопровождением состояния к чему-то другому. Проверка с сопровождением состояния — это составляющая любого отдельно взятого UTM и NGFW, представленного на рынке. Это то, что невозможно изъять или заменить. Более того, в самом протокольном анализе передаваемых пакетов с учётом состояния соединения нет ничего нового или инновационного. Любой межсетевой экран на планете, который представляет хоть какой-нибудь интерес, производит фильтрацию пакетов на основе данных о состоянии соединения в течение многих десятилетий.

Кроме того, в чем именно различие между UTM и NGFW? Gartner не приводит ни единого веского аргумента на сей счет, упомянув всего лишь о том, что UTM является „не подходящим решением“ для корпораций. Почему же UTM — не подходящие? Если поразмыслить о том, что все устройства UTM так же, как и продукты NGFW, используют идентичный функциональный набор, а так же о том, что вендоры UTM тоже выпускают корпоративную продукцию — различий не заметно.

К тому же приписывание «всё-в-одном» к UTM довольно странное, поскольку продукты UTM и NGFW обладают абсолютно идентичным функциональным набором. Так в чем же отличие между UTM «всё-в-одном» и NGFW?

Gartner мог сделать заявление, что продукты UTM ориентированы на класс малого и среднего бизнеса, в то время, как целевым сегментом NGFW являются большие корпорации. Это утверждение заслуживает внимания, но какова цель? Следует ли из этого, что продукты для малого и среднего бизнеса, производимые Palo Alto, в действительности являются UTM? Или же продукция корпоративного класса, которую выпускает Sonicwall – не что иное, как NGFW? Подобное разграничение лишь мутит воду в водоёме, хотя в этом нет никакого смысла. UTM — это и есть NGFW. Почему бы не отнести их к одному виду, но при этом разделить в соответствии с целевым сегментом на продукцию класса малого и среднего бизнеса и отдельно класса больших корпораций, как и любые другие технологии.

Разделение между UTM и NGFW, в сущности, является всего лишь изобретением маркетологов, цель которого — создать образ для определенных вендоров, как более конкурентоспособных, чем они есть на самом деле. Это сделано умышленно для изменения правил по ходу игры, чтобы подвести корпоративных клиентов к другой системе критериев, а также изолировать устоявшиеся компании, такие, как Fortinet и Astaro, в пределах класса „малого бизнеса“.

Сведущие корпорации, как и потребители малого бизнеса, должны видеть, что есть на самом деле: бессмысленный дифференциатор, созданный с целью продать менее авторитетный продукт по премиум-цене. Если Вам предстоит приобретение нового устройства сетевой безопасности, мудро подходите к этому решению, игнорируя эту дифференциацию: рассматривайте UTM и NGFW технологии как абсолютно идентичные, выбирайте ту продукцию, которая отвечает в наибольшей степени потребностям Вашего бизнеса.

Что касается Gartner, то они пребывают в категории бизнеса продажи советов и формирования рынка. Однако это тот самый случай, когда совет вводит в заблуждение. Это заставляет задаться вопросом, каковы их побуждения? Действительно ли их цель — продавать отчёты? Или есть некоторые другие скрытые мотивы? Нет полной уверенности насчёт этого, но однозначно ясно, что Gartner хочет чтобы UTM и NGFW, боролись за рынок и долю завоеванного внимания.

ссылка на оригинал статьи http://habrahabr.ru/company/muk/blog/160703/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *