Obě tyto kategorie se do značné míry překrývají a svou funkčností nahrazují tradiční firewally a řešení IDS/IPS (detekce a prevence průniku). Systémy UTM/NGFW stojí na hranicích mezi firemní sítí a vnějším prostředím, tj. podobně jako klasický firewall filtrují provoz a obsah (web, e-maily...), zabezpečují vzdálený přístup do firemní sítě (VPN), nicméně také monitorují aktivity uvnitř sítě.
Firewally toho umí více než dříve
"Moderní firewall již nespoléhá jen na IP adresy, porty a protokoly, ale řídí síťovou komunikaci dle uživatelů, aplikací nebo přenášeného obsahu. Firewally už neslouží pouze k ochraně sítí, ale zastávají mnohem komplexnější úlohu, kdy chrání celé firemní prostředí, včetně koncových bodů, aplikací a cloudových řešení," popisuje současnou situaci Michal Hebeda, sales engineer společnosti Sophos.
Další funkcí těchto řešení, alespoň těch vyspělejších, by mělo být vytváření reportů, které lze dále použít pro účely auditu, dosažení shody s předpisy apod. Řešení UTM by mělo umožnit vynucovat firemní politiky a spolupracovat s dalšími nejen bezpečnostními systémy, ať už jde o síťové prvky, adresářové služby, řízení přístupu nebo nástroje pro prevenci úniku dat (DLP). Celkem jednoduchá správa alespoň u některých současných UTM systémů umožňuje jejich nasazení v čím dál menších podnicích bez vyhrazených IT specialistů.
"Malé firmy se stávají stále častěji terčem kyberútoků, proto jsme představili novou řadu Check Point 700, která přináší ,velkou' bezpečnost do malých a středních organizací," uvádí v této souvislosti David Řeháček, marketingový ředitel pro jižní a východní Evropu ve společnosti Check Point Software Technologies.
UTM neboli Unified Threat Management je řešení, které v sobě obvykle integruje několik bezpečnostních technologií dříve nasazovaných jako samostatná řešení. Nejčastěji se jedná o integraci zařízení, jako je firewall, VPN, IDS/IPS, antivirus, antispyware, antispam a filtrování webového obsahu. Jde tedy o all-in-one řešení se všemi výhodami a nevýhodami, které jsou pro tato řešení typická. Jako hlavní výhoda se obecně uvádí nižší TCO.
Na druhém konci škály pak stojí velké systémy podporující nasazení ve více geograficky oddělených pobočkách firmy nebo v datových centrech, nabízející vysokou škálovatelnost a podporující infrastrukturu IT založenou na virtualizaci.
Řešení UTM, respektive NGFW mohou mít formu čistě softwarovou i podobu speciálního hardwarového zařízení (appliance). Důležitým faktorem při výběru konkrétního dodavatele je samozřejmě výkon celého řešení, tj. nakolik bezpečnostní funkce zpomalují síťový provoz.
Rozdělení trhu mezi hlavní hráče
Co se týče současného trhu UTM řešení, máme k dispozici hned několik studií. Analýza IDC z letošního března uvádí, že velikost trhu UTM se za posledních pět let zdvojnásobila a v roce 2015 činila 4,85 miliardy dolarů. Meziroční růst ve výši 18 % znamená, že segment UTM roste velmi rychle i na poměry prosperujícího trhu bezpečnostních produktů. Podle IDC dynamika trhu UTM výrazně převyšuje klasické firewally, systémy IPS/IDS, VPN i systémy pro řízení obsahu; jak už však bylo řečeno, tyto kategorie se do značné míry překrývají a UTM vlastně zahrnuje všechny z nich. Gartner např. zase uvádí, že samostatná řešení pro VPN v podstatě přestávají existovat.
Analýza IDC z letošního března uvádí, že velikost trhu s UTM řešeními se za posledních pět let zdvojnásobila a v roce 2015 činila 4,85 miliardy dolarů.
Podíváme-li se na trh UTM jako celek, pak podle IDC je pořadí jednotlivých dodavatelů za celý rok 2015 z hlediska tržeb následující: Cisco (1,711 miliardy dolarů, 16 % trhu), Check Point (1,346 miliardy, 13 %), Palo Alto Networks (1,016 miliardy, 10 %), Fortinet (883 milionů, 8 %) a McAfee (Intel, 460 milionů, 4 %). Výsledky za poslední kvartál se poněkud liší, trh je ale každopádně poměrně fragmentovaný, když uvedených 5 největších dodavatelů ovládá pouze 51 % trhu, i když podíl největších hráčů se za poslední rok zvýšil. Co se týče dynamiky jednotlivých dodavatelů, pak v loňském roce výrazněji vzrostl podíl firem Palo Alto Networks a Fortinet. Zajímavé v této souvislosti je, že moderní bezpečnostní řešení se zatím nasazují ve zbytku světa výrazně pomaleji než v USA, které dosud představují 40 % trhu UTM. Východní Asie (bez Japonska) generuje dodavatelům 23 % příjmů, oblast EMEA (Evropa, Blízký východ, Afrika) pak 26 %. Mimo USA se řešení UTM v menších firmách podle IDC teprve začínají nasazovat a dodavatelé mají šanci zde výrazně zvyšovat své tržby.
Gartner hovoří v podobné souvislosti o kategorii podnikových firewallů ("enterprise network firewall"), kterou víceméně můžeme ztotožnit s firewally nové generace/UTM, i když Gartner kategorie UTM a NGFW nechápe jako synonyma - první skupinu považuje za typ řešení pro malé a střední podniky, druhou pro ty velké. Určitý terminologický zmatek zvýrazňuje i paralelní používání pojmů NGIPS (systémy prevence průniku nové generace) a XTM (eXtensible Threat Management).
Aktuální podoba "magického kvadrantu" Gartneru pro firewally nové generace je bohužel ještě z loňského roku; v kategorii lídrů se zde umístily pouze firmy Check Point a Palo Alto Networks. V kvadrantu vyzyvatelů jsou Fortinet a Cisco, mezi dodavateli, kteří uspokojují potřebu určitých segmentů trhu ("niche players"), najdeme společnosti McAfee/Intel, HP, Sophos, Juniper Networks, Huawei, Dell (SonicWall), Barracuda Networks a WatchGuard.
Konkurenční výhody
Jaké hlavní trendy a konkurenční výhody svých řešení uvádějí jednotliví dodavatelé?
"Zásadní pro boj s kyberhrozbami jsou dnes preventivní technologie a technologie detekující neznámé hrozby. Spolehlivé odhalení a zachycení známých hrozeb by mělo být naprostou samozřejmostí. Emulace hrozeb umožňuje odhalit i sofistikované útoky, ale hrozby často s podobnou detekcí počítají, proto je důležitá kombinace s unikátními technologiemi pro extrakci hrozeb (Threat Extraction) a detekci hrozeb ještě v předinfekční fázi na úrovni procesoru (technologie CheckPoint SandBlast)," odpovídá Řeháček. Emulace hrozeb probíhají v odděleném prostředí sandboxu a právě sandbox vyzdvihují jako významnou součást svých řešení i další dodavatelé.
"Nové firewally Sophos ze série XG (stejně jako UTM zařízení Sophos) mají zabudovaný bezpečnostní mechanismus Heartbeat, který pravidelně a v reálném čase informuje o podezřelém chování nebo nežádoucí aktivitě mezi koncovými body a síťovým firewallem nebo zařízením pro jednotnou správu hrozeb. Díky možnostem přímého sdílení důležitých informací mezi tradičně nezávislými produkty může bezpečnostní mechanismus Heartbeat okamžitě reagovat a hrozbu eliminovat," zdůrazňuje konkurenční výhody Hebeda. "Řešení Sophos také poskytují patentovanou technologií identifikace uživatelů na 8. vrstvě."
Řeháček i Hebeda dále společně uvádějí, že moderní bezpečnostní produkty musí stále více spoléhat na laboratoře výrobce a jeho globální sítě, tj. informace ze senzorů shromažďované po celém světě. UTM pak může rychle reagovat na nové hrozby, k dispozici je nepřetržitý monitoring situace i rychlé aktualizace.
Za hlavní výhody řešení Cisco se podle Gartneru považuje silná pozice na trhu jako tradičního dodavatele síťových produktů a výborná podpora, díky čemuž zákazníci vykazují vysokou loajalitu ke značce. Cisco má propracované prodejní kanály a velmi široké portfolio produktů, co se samotných bezpečnostních technologií týče, vyzdvihují se i funkce reputace.
Fortinet má rozsáhlý vývojový tým včetně vývoje vlastních specializovaných procesorů, díky čemuž dokáže na trh rychle uvádět nová řešení často převyšující cenově srovnatelnou nabídku konkurence z hlediska výkonu.
Tolik kladné stránky, jak je vidí někteří dodavatelé i nezávislé analytické firmy. Co se týče slabin, podle Gartneru jsou zhruba následující: řešení Check Point mají v porovnání s konkurencí vysokou cenu, u Cisca se uvádí vazba na další produkty téhož dodavatele (stejný problém i u Juniper Networks). Fortinet údajně zaostává za konkurencí z hlediska funkcí pro správu celého řešení, v případě McAfee/Intel je problémem, že tento trh byl vždy spíše na okraji jejího zájmu a zákazníci si příslušnou značku s UTM/NGFW neidentifikují, což je stejně tak problémem např. u Dellu nebo HP a Sophosu (jehož řešení užívají spíše střední než velké firmy). Produkty Palo Alto Networks mohou být slabší, co se týče výkonu nebo při integraci s řešeními třetích stran. Tato hodnocení/kritiky se ovšem týkají výhradně nasazení ve velkých podnicích, nikoliv ve firmách z kategorie SMB - jak již bylo řečeno, Gartner totiž obě tyto kategorie odděluje.
Článek byl publikován v ICT revue 5/2016.
