UTM—採購篇
文/曹乙帆 2013/1/3 下午 04:57:33
儘管NGFW限制了高階UTM的發展之路,同時許多UTM廠商也推出NGFW產品,或許不久,這些廠商的高階產品都會定調為NGFW。但不論如何,除了定位中小企業的UTM外,針對大型企業的高階UTM仍然不少。有些主流UTM廠商在推NGFW的同時,也推出高階UTM。對於企業而言,不論UTM還是NGFW,採購前全看自己的需求而定。
UTM主流廠商
對於有意採購UTM的企業而言,當然得先對現行UTM市場上的玩家有一番了解才行,如此才能選擇到符合主流市場發展趨勢及潮流的產品,同時唯有主流廠商的產品才比較能夠在技術、品質、功能、效能、可用性及支援服務上提供持續改進且最穩定的保障。
為了方便了解當前主流UTM廠商的實際現況及表現,不免俗地,透過Gartner魔力象限(Magic Quadrant)會是最快速方便的參考依據。這次入選2012年Gartner UTM魔力象限的UTM廠商共有14家,其中入選領導者象限的有5家,由第1到第5分別為Fortinet、SonicWall、Check Point、WatchGuard及Sophos(Astaro) ,說明了這5家不論在執行力及願景實現力上皆屬一流。Cyberoam及Netasq較偏向擁有較佳的願景實現力,所以進入願景者象限之中。在以執行力見長的挑戰者象限中則分別有Cisco及Juniper Networks。至於Netgear及Trustwave則屬於執行力及願景實現力皆普通的利基者象限。
▲ 2012 Gartner UTM魔力象限。
不論如何,Gartner及IDC皆可做為企業採購上的參考之一,但每家UTM廠商在產品功能、效能、部署、管理及後續支援服務上都會有所不同,同時各家廠商也各有不同的優勢、特點及缺點,再加上各家產品售價策略也不盡相同,這些都是採購前必須與自身需求及預算相權衡的重要面向。
UTM今後的定位問題
不論如何,釐清UTM與NGFW之間的差異,乃至今後UTM產品定位的可能變動,都會是影響今後UTM採購上的重要因素及判別依據。雖然目前新型態防火牆市場,大體上會朝向NGFW鎖定高階企業市場,UTM則定位中低階,專門負責滿足中小型企業的網路安全需求。雖然已有此Gartner欽定版的定調出現,但事實際上,兩類型產品在實際市場上的定位及差異仍處於混亂的狀態。
畢竟高階市場本來就有UTM的產品身影,即使有推出NGFW的UTM廠商,其全新NGFW產品,在架構實與UTM無異,例如Fortinet旗下FortiGate-3140B/3240B NGFW設備,與其他UTM設備一樣都採用ASIC運算架構,所以不論骨子裡的架構,還是展現在外的功能及市場定位並沒有什麼太大差異。
不僅如此,該公司並非所有高階UTM都變成NGFW,就以3810A而言,對外仍以高階UTM的定位在賣。更特別的是,FortiGate-3950B在官網上還宣稱是一台同時整合NGFW防護及UTM安全的產品,如此兩面通吃的行銷手法,不知是否會被其他遇到同樣困擾的UTM廠商仿照?同樣的,儘管SonicWall官網上的NSA設備已然清楚地以NGFW自居,但在市面上經銷通路夥伴的官網上仍然以UTM的定位販售。
總而言之,正處新舊防火牆過渡的當頭,上述定位混合的局面仍會持續一段時日。但一旦NGFW受到企業的青睞,並在市場上站穩腳跟,那麼未來企業級高階市場只會看到NGFW,中低階中小企業市場則只會有UTM。這尤其對同時擁有NGFW及UTM產品的廠商而言更需做好銷售上的明確定位及區隔,否則只會形成自己銷售上的困擾。
換言之。為了符合Gartner的定義與市場上的期待,市面上原本高階的UTM產品,勢必都有被迫「轉型」成為NGFW的壓力,至於到底是不是架構上有所轉變,還是只基於宣傳的需求而做的改變,恐怕有待企業做更深入的釐清了。但不論如何,只要廠商敢以NGFW的名義銷售,不管骨子裡是不是UTM,其在品質及效能上自然會符合NGFW的標準,否則只會自砸腳跟、自取其辱而已。所以企業只需依據需求及預算來購買即可。
UTM能變身無線控制器才夠酷
過去不乏許多UTM早已支援無線網路,但光有無線網路介面的內建還不夠,企業最好選擇可以讓UTM自己變身成為無線控制器的方案,才符合今後BYOD的安全潮流。
當前一些主流UTM不但內建無線網路功能,甚至還可在搭配自家開發的無線AP的同時,搖身變為無線交換器或無線控制器。這就好比是Cisco及Aruba旗下由無線控制器、無線AP及感測器所組成的無線入侵偵測系統一樣。換言之,UTM要可搭配可以身兼無線感測器角色及功能的專屬無線AP,便可支援無線入侵偵測與無線存取控制的功能。所以企業在採購UTM的同時,也務必要將這個功能,列為必備功能之一。
▲ FortiAP無線入侵防護架構部署範例圖。
畢竟隨著BYOD熱潮的帶動,企業員工在工作場合及商務上採用行動裝置的狀況只會愈來愈普及,而行動裝置則多半透過無線網路來存取公司資源或上網瀏覽資訊,一切網路行動皆透過無線網路,所以行動裝置及無線網路的控管因此變得更加重要。若能透過UTM擴充其他各種功能的同時,又能在不需另外添購整套無線入侵防禦系統的情況下,而滿足行動及無線安全的需求,又何樂不為呢?這實在不失為一勞永逸地最佳做法。
其他採購要點
當前UTM自然會內建許多普遍常見的網路、安全及管理功能,像是防火牆、VPN、IDS/IPS、閘道防毒、Web過濾、垃圾郵件過濾、郵件防毒及裝置控管。雖然這些皆為UTM上較基本的功能,但其間仍有優劣高下之別,企業仍需就其個別在效能上、完整性、穩定度、可管理性,乃至特徵碼數,有無支援啟發式、行為式偵測等機制特點上做比較及評估。
隨著當前惡意程式攻擊型態及手法的改變,企業選擇UTM之類的安全防護產品,當然也得特別關注其在因應最新攻擊手法之對應功能強弱來做為採購上的依據。以下便列出幾個,今後UTM採購可以參考的重點:
1. 應用層偵測及防護能力
當前大部分的安全威脅幾乎都從應用層及Web而來,所以應用層及Web防護能力便成為判讀UTM好壞的重要依據。當然,原則上UTM有支援IPS功能,便能提供應用層的安全防護。但IPS還分成NIPS及HIPS,若兩者都能支援最好。另外一個必備的應用層檢測功能即為深層封包檢測(DPI)機制,企業購買前絕對要認明是否內建或可選購此一功能。
2. 應用控管及QoS
應用軟體一直是企業員工工作上最重要的工具,對於駭客而言也是入侵的重要管道,所應用程式不但關乎安全,其順暢與否也會影響員工的生產力。隨著Web 2.0及BYOD的盛行,應用程式安全及可用性更顯重要,所以應用控管、QoS、頻寬管理,乃至應用程式防火牆(WAF)等功能,遂成為今後UTM採購單上的必備功能。
3. 行動安全存取控制
如今企業筆電的採購數量已經超過桌機,這說明了人們對於行動力的要求愈來愈高。不僅如此,若再加上智慧型手機及平板電腦為首的BYOD風潮的來襲,不但企業內部無線網路有可能取代有線網路的主流地位,無線存取也勢必會成為今後連網的最主要方式。進一步而言,企業今後未來不論員工、合作夥伴及訪客都有可能會以自身的行動裝置連結企業網路,行動安全存取控制遂成為今後最重要的安全措施之一。畢竟員工常常帶著行動裝置往返公司、家庭及公共無線區域之間,招致各類威脅的風險自然很高,透過網路存取控制機制,便可能確保有風險的行動端點不會造成內網及其他裝置的危害,同時也能提升行動使用者的安全意識及裝置的安全性。
4. 內建身分認證機制
如同前述網路存取控制很重要,但這方面得搭配目錄服務才能達到良好的控制,畢竟身分認證會是網路存取控制的重要基礎。但許多中小企業可能本身並沒有目錄服務系統,若為此而另外加裝,勢必太過麻煩也不划算,所以UTM本身若能支援各種身分認證機制,如Xauth/RADIUS、AD、LDAP、Citrix,甚至SSO或OTP那就更理想了。
5. 支援加密封包內容檢視能力
當前有不少安全威脅為了躲避偵測而將惡意封包或是從企業內部竊得並準備外傳的機密予以加密。對此,UTM若能支援SSL加密封包的檢測機制,便可以杜絕上述風險及資料外洩的可能性。
6. 支援軟體及虛擬設備
UTM廠商除了能提供設備型的硬體產品,最好也能支援軟體式或虛擬設備,如此才能滿足不同虛實環境下的安全防護部署需求。例如企業可以在虛擬環境中部署UTM,同時也可在租用的雲端主機上安裝軟體UTM。
7. 支援高可用性
對於同時含括眾多功能於一身的UTM來說,最怕單點故障的狀況出現。因為一旦掛點,勢必牽連甚廣,不但企業各種安全防護為之停擺,員工賴以工作的服務也可能為之中斷。當然,當前UTM多多少都具備一定程度的高可用性機制,企業可以從中比較其優劣與功能之多寡,原則上,硬體本身最起碼要支援Active-Passive的Failover機制,為了避免遭到DDoS之類的攻擊,UTM本身也必須具備負載平衡的機制。
8. 高速網路介面
當前企業內部乙太網路多半已支援1GbE至可能達到10GbE的程度。為了展現效能,UTM在網路介面上至少也要支援1GbE,若上能看10GbE當然更好,如此才能提供更具效能的安全服務及保障。
9. 符合法規遵循的日誌及報表
隨著個資法的正式上路,企業有責任保存各種軌跡資料。對於集多功能與一身的UTM,其各種安全服務之日誌紀錄保存的重要性自然不在話下,對此,UTM除了必須支援相關網安日誌及報表功能,同時在記錄方式、內容呈現及介面上若能符合法規上的要求,才是最符合當前企業需求的重大功能之一。
UTM—背景篇
UTM—採購篇
UTM-Check Point 4800
UTM-Cyberoam CR2500iNG
UTM-fortinet
UTM-SonicWall TZ 215
UTM-Sophos UTM 625
UTM-WatchGuard XTM 545
