Sicherheitskonsolidierung:
UTM aus einem Guss

von Ralf Ladner (ralf.ladner@networkcomputing.de), Gert Hansen

Share
05.07.2010

Das Konzept, mehrere Sicherheitsfunktionen auf einer technologisch einheitlichen Plattform mit grafischer Benutzeroberfläche zusammenzufassen, wird immer populärer. Jedoch fordert die Produktvielfalt an Unified-Threat-Management-Lösungen ihren Tribut. Das Gerangel auf dem Markt resultiert in einer unübersichtlichen Anzahl an Herstellerangeboten mit unterschiedlichster Funktionalität, Performance und Ausstattung.

Die Konsolidierung vieler Netzwerksicherheitsprodukte im Rahmen einer einheitlichen Appliance hat bekanntermaßen viele Vorteile: Sie spart aufwändige Administrationsarbeiten, bei denen sich Administratoren mit mehreren Management-Oberflächen zurechtfinden müssen, das umständliche Einspielen von einzelnen Firmware- und Versions-Updates sowie versteckte Kosten für Support, Wartung und Updates. Unified-Threat-Management-Lösungen punkten durch eine einheitliche grafische Administrationsoberfläche und vereinfachen die Fehlersuche und Problemlösung im Netzwerk. Zudem sind die Applikationen einer UTM-Appliance aufeinander abgestimmt und ergänzen sich gegenseitig: Eine UTM-Appliance kann zum Beispiel VPN-Verbindungen über IPSec oder SSL nicht nur an zentraler Stelle entschlüsseln, sondern zugleich per Intrusion-Protection-System filtern. Einzellösungen dagegen müssen in der richtigen Reihenfolge angeordnet werden und erfordern eine aufwändige Konfiguration mit komplexen Routing- und Traffic-Regeln.

Auf den ersten Blick ähneln sich moderne UTM-Lösungen bei der Ausstattung, Funktionalität und Gesamtkonzeption. Nahezu alle Hersteller kombinieren verschiedene Einzellösungen von Drittanbietern, proprietäre und Open-Source-Technologien in einem Gerät und bewerben dieses als umfangreichste oder vollständigste »Best-Of-Breed«-Lösung. Die bloße Aneinanderreihung verschiedener Einzelfunktionen, wie sie häufig praktiziert wird, ist nur von geringem Wert, wenn nicht gleichzeitig alle Funktionen in einem einheitlichen Management-System integriert werden, ohne dass die Gesamtlösung zu komplex oder bedienungsfeindlich wird. Genau an diesem Punkt zeigen viele UTM-Lösungen deutliche Schwächen. Ein Hauptaugenmerk bei der Auswahl eines UTM-Produkts sollte daher auf dem Management liegen, auf einer klar strukturierten Bedienungsoberfläche und einer verständlichen Benutzerführung. Dabei geht es nicht in erster Linie darum, ob einem das Menüdesign der Benutzerschnittstelle zusagt, sondern ob alle Funktionsbereiche der Lösung nahtlos integriert sind. Viele UTM-Plattformen leiden darunter, dass die verschiedenen Module nicht vernünftig implementiert und nicht richtig miteinander verknüpft sind. Zum Beispiel kommt es bei der Implementierung eines einfachen Webfilters häufig vor, dass viele verschiedene Bereiche der Plattform unabhängig voneinander konfiguriert werden müssen: Der Content-Filter muss aktiviert und richtig konfiguriert sein. Ungleich müssen auch andere UTM-Module so eingerichtet werden, so dass sie mit dem Content-Filter zusammenarbeiten, wie unter anderem die manuelle Definition von Masquerading-Regeln im Paketfilter. Im Gegensatz dazu versetzt ein ausgereiftes UTM-Produkt den Administrator in die komfortable Lage, dass sich das Komplettsystem automatisch konfiguriert, sobald er den Content-Filter an zentraler Stelle aktiviert.

Integrierte Funktionen unter die Lupe nehmen

Man sollte sich außerdem nicht nur versichern, dass die gewünschten Funktionsbereiche im Datenblatt aufgelistet sind, sondern die integrierten Funktionen müssen genauestens unter die Lupe genommen werden. Es ergeben sich große Unterschiede zwischen den UTM-Lösungen, wenn man die Qualität der integrierten Komponenten einmal genauer untersucht. Viel zu oft trifft man auf Lösungen, die bestimmte Produktfeatures nur rudimentär implementiert haben, was sich dann zwar in den Marketingbroschüren gut liest, aber in der Praxis als unbrauchbar erweist.

Weitere Schlüsselfunktionen einer UTM-Lösung betreffen Upgrade-Möglichkeit und Skalierbarkeit, um auf zukünftige Anforderungen vorbereitet zu sein. Der Sicherheitsmarkt verändert sich angesichts immer neuer Herausforderungen ständig, und die Hersteller reagieren mit neuen Werkzeugen und Technologien. Häufig wird der Wert skalierbarer Lösungen, die auf zukünftige Entwicklungen vorbereitet sind und dadurch für Investitionsschutz sorgen, unterschätzt. Hierzu gehört einerseits die laufende automatische Aktualisierung der Produkt-Firmware durch den Hersteller, andererseits auch Möglichkeit, die Leistungsstärke eines Systems zu erhöhen und weitere Funktionen zu aktivieren, wenn das im Rahmen des Unternehmenswachstums erforderlich wird. Hilfreich ist beispielsweise, wenn bei Bedarf mit weiteren Appliances ein Cluster-Verbund gebildet und die die Gesamtlast automatisch und ohne externe Loadbalancer auf alle Cluster-Einheiten verteilt werden kann. Die effektivsten Lösungen erlauben eine vollkommen dynamische Erweiterung eines Clusters im laufenden Betrieb und sorgen außerdem für Ausfallsicherheit und Hochverfügbarkeit im Rahmen eines Active/Active-Clusters. Flexible Erweiterungsmöglichkeiten zahlen sich spätestens dann aus, wenn man bei steigenden Leistungsanforderungen nicht auf eine größere Hardware-Plattform wechseln muss, sondern sukzessive auch kleinere Upgrade-Schritte gehen kann.

Das dritte Unterscheidungsmerkmal, das Lizenzmodell einer UTM-Lösung, ist oft schwer durchschaubar, weil komplex und sehr unterschiedlich aufgebaut. Obwohl einige Hersteller damit werben, dass ihre Hardware-Appliances unbegrenzte Benutzerzahlen zulassen, ist das jedoch selten tatsächlich der Fall. Früher war es häufig so, dass sich die Produktlizenzierung von Sicherheits-Appliances – wie bei reinen Softwarelösungen auch – nach der Anzahl gleichzeitig aktiver Benutzer beziehungsweise IP-Adressen richtete. Mehrere Jahre lang war das die übliche Praxis, aber der Markt verlangte nach Veränderungen, hauptsächlich weil UTM-Appliances immer mehr unterschiedliche Funktionen integrieren und in verschiedenen Unternehmen für unterschiedliche Zwecke eingesetzt werden – unterschiedliche Kunden stoßen je nach Einsatzgebiet früher oder später an die Kapazitätsgrenzen ihrer Lösung. Einige Unternehmen verwenden eine recht undurchsichtige Methodik, wie die pro Benutzer zugeteilten Ressourcen begrenzt oder lizenziert werden und definieren die User-Lizenz anhand der IP-Adresse, MAC-Adresse oder anderer Faktoren. Ein typisches Beispiel ist, dass mit einer »unbegrenzten Benutzerzahl« geworben wird, aber die Anzahl gleichzeitiger Verbindungen eingeschränkt bleibt. Ähnlich gelagert sind Fälle, bei denen eine bestimmte Funktionalität nur für die größeren Modell-Versionen einer UTM-Produktpalette verfügbar ist oder aber spezielle Lizenz-Codes erfordern, die zusätzlich erworben werden müssen. Zur Vermeidung von versteckten Zusatzkosten ist es also ratsam, beim Kauf einer bestimmten Version einer UTM-Lösung darauf zu achten, dass die eigentlich gewünschte Funktionalität nicht eine andere Version erfordert. Ein einfaches Produkt-Lizenzmodell erhöht die Wahrscheinlichkeit, dass der Kunde tatsächlich die für seine Anforderungen passende Lösung erwirbt.

Die obigen Ausführungen können sicherlich nur erste Ansatzpunkte für die Auswahl der richtigen Unified-Threat-Management-Lösung sein. Dafür ist der Markt für Sicherheitsprodukte mit einer Vielzahl an Anbietern in diesem Segment einfach zu unübersichtlich, ganz zu schweigen von der schier unendlichen Liste an Produkten und Features, so dass es in der Regel geschulten IT-Sicherheitsexperten vorbehalten bleibt, die Funktionsvielfalt einer Lösung mit den gefragten Systemanforderungen im Unternehmensnetzwerk in Übereinstimmung zu bringen. Häufig ist man als Kunde vom Angebot an UTM-Lösungen einfach überfordert, muss die technischen Fachbegriffe, Werbeversprechen und Leistungskataloge erst einordnen, um sich bei der Problemlösung auf die Kernfragen zu konzentrieren. Dabei hilft es, das Anforderungsprofil der gesuchten UTM-Lösung festzulegen, bevor man die für diesen Fall passenden Appliance mit entsprechend attraktivem Preis-Leistungsverhältnis auswählt.

Das vorgelegte Marketing- und Zahlenmaterial ist bei dieser Suche zumeist eher ablenkend. Es gilt sicher zu stellen, dass man das Lizenzierungsmodell komplett verstanden hat und dass es flexible Upgrade-Möglichkeiten gibt, um eine größtmögliche Investitionssicherheit für die UTM-Lösung zu erreichen. Genauso sollte man genau auf den Leistungskatalog des Produktes achten, um sicherzustellen, dass später der richtige Grad an Funktionsvielfalt und -tiefe zur Verfügung steht, um die Problemstellungen auch lösen zu können und nicht nur über eine Vielzahl an Features zu verfügen.

Gert Hansen, Vice President Product Management, Astaro [1]

[1] http://www.astaro.de/