Jaki UTM wybrać?

Jaki UTM kupić’? – takie pytanie pojawia sie dość często np. na forach internetowych związanych, mniej lub bardziej, z tematyką IT SECURITY.  Odzew bywa, że jest dość szeroki. Padają propozycje konkretnych marek i modeli. W odpowiedzi zaś na te propozycje pojawiają sie kontr argumenty przeciwko danej marce, modelowi lub kierowane osobistymi doświadczeniami lub zasłyszanymi opiniami uwagi co do np. serwisu i wsparcia technicznego danego sprzętu. Często pytanie jest sformułowane w postaci „jaki radzicie UTM kupić”. Odnoszę wrażenie, że już słowo UTM pojawiające sie w pytaniu,  definiuje według pytającego, cały problem z jakim się przyszło mu zmagać. Czyli pytanie sprowadza się pytania w stylu jak samochód mam kupić nie definiując nawet czy pojazd ma służyć do przewozu osób czy towarów, ile osób ma zabrać albo czy będą wożone szafy czy konie.

Odpowiedź na tytułowe pytanie jest bardzo prosta – kup taki UTM z jakiego pomocą w najbardziej optymalny sposób i najtaniej zrealizujesz politykę bezpieczeństwa swojej firmy.

Ogólna odpowiedź jest prosta ale wskazanie konkretnego systemu wymaga trochę pracy. Trzeba przeprowadzić analizę potrzeb. Im będzie ona bardziej szczegółowa tym szansa na właściwy wybór będzie większa. Do przeprowadzenia analizy potrzeb niezbędny jest dokument opisujący precyzyjnie politykę bezpieczeństwa systemów teleinformatycznch firmy, ale nie taki który jest tylko formalną „podkładką” albo taki który jest dopiero w głowach administratora i kierownictwa. Jeżeli nie dysponujesz takim dokumentem to jest to najlepszy moment aby go stworzyć (przykład polityki bezpieczeństwa opisałem w innym artykule). Po przeprowadzonej analizie potrzeb może się nawet okazać, że w ogóle nie potrzebujesz UTM-a a potrzeby z zakresu obsługi łączy, NAT-a, VPN spełni np. darmowy pfSense.

Rzecz która mnie rozkłada na wdrożeniu to jak w odpowiedzi na moje pytanie o zakres wdrożenia pada zdanie „A co to urządzenie potrafi?”

Mając zdefiniowane potrzeby (nie dyskutuję wydajności i związanego z tym wyboru modelu urządzenia bo to odrębna kwestia) możesz przystąpić do poszukiwań. Nie oceniaj rozwiązań pod kątem liczby funkcjonalności. Dla ciebie ważne są tylko te funkcjonalności które są wymagane do implementacji Polityki bezpieczeństwa twojej organizacji czyli te które wymieniłeś w analizie potrzeb. Wybieraj tylko te rozwiązania z którymi będziesz miał możliwość osobistego zapoznania się przed zakupem (urządzenia testowe). Ważną informacją jest certyfikacja danego rozwiązania, jej rodzaj i zakres. Samemu praktycznie nie jesteśmy w stanie stwierdzić czy oferowane urządzenie będzie zabezpieczeniem czy wręcz stanie się dziurą w naszym systemie. Ważnym elementem w którym trzeba się koniecznie zapoznać jest logowanie zdarzeń, logi to podstawa każdego systemu bezpieczeństwa.

Wypożyczenie urządzenia testowego nie jest samo w sobie wielką wartością, UTM-y to dość skomplikowane urządzenia, samodzielne przebicie się przez nieznaną konsolę administracyjną może stanowić duży problem, tym bardziej, że producenci stosują różną filozofię administracji. Najlepiej poprosić sprzedawcę aby urządzenie do testów przysłał wstępnie skonfigurowane zgodnie z naszymi uwarunkowaniami i naszą polityką bezpieczeństwa a następnie aby zapoznał nas z podstawowymi czynnościami administracyjnymi tak abyśmy mogli sprawdzić  czy sposób administracji urządzeniem odpowiada naszym preferencjom. Czy interfejs i opis parametrów jest czytelny. Czy jesteśmy w stanie, nawet ze wsparciem zewnętrznym, ale zmodyfikować konfigurację.

Jeżeli już wybierzesz 2-4 rozwiązania które od strony technicznej spełniają narzucone kryteria spróbuj dokonać rozeznania jakie jest w Polsce wsparcie dla tych systemów (pamiętaj, że problemy pojawią się na 100%) oraz jakie są koszty eksploatacji (koszty licencji). Jak wygląda i ile trwa procedura gwarancyjna. Czy możesz liczyć na urządzenie zastępcze. Czy opcje które są z punktu widzenia twojej konfiguracji (a w zasadzie Polityki bezpieczeństwa) istotne będą dostępne przez cały okres eksploatacji urządzenia (np. szybki serwis wymiany urządzenia NBD).

Opinie anonimowych użytkowników mogą być pomocną wskazówką ale trzeba podchodzić do nich z pewną ostrożnością. Producenci i  sprzedawcy są aktywni w promocji swoich rozwiązań również na forach internetowych, traktując te media jako miejsca działań marketingowych. Takie opinie są bezużyteczne. Podobnie wygląda kwestia artykułów sponsorowanych na portalach branżowych czy prasie. Poproś sprzedawcę o kilka namiarów na osoby którym dostarczył takie rozwiązania, zasięgnij ich opinii.