Seguridad | Artículos | 01 OCT 2007

UTM

También para la gran empresa
Los cortafuegos UTM (Unified Threat Management) no sólo están indicados para las pymes. Desplegados adecuadamente, también son de utilidad en las grandes redes corporativas al reducir la complejidad, simplificar la gestión y aportar una gran flexibilidad.

Desde que, hace muy pocos años, Charles Kolodgy, analista de seguridad de IDC, bautizara con las siglas UTM a los dispositivos de seguridad multipropósito que comenzaban a comercializarse en ese momento, este nuevo mercado no ha dejado de crecer, generando ya en 2006 un volumen de ventas de 850 millones de dólares. Se trata de un negocio en el que participa todo tipo de agentes, desde los centrados en la gama alta, como Fortinet, a los dirigidos especialmente a las pymes, como SonicWall, sin olvidar a Cisco, que en 2005 se subía al carro Unified Threat Management con el lanzamiento de sus ASA (Adaptive Security Appliances). Y como es habitual en otros campos, no todos siguen el mismo enfoque ni ofrecen las mismas combinaciones de funciones de seguridad. Algunos se asocian con firmas especializadas para soportar antivirus u otras tecnologías de filtrado de contenidos cuando no tienen desarrollos propios. Alianzas hay como las que Cisco y Secure Computing mantienen respectivamente con Trend Micro o la establecida entre SonicWall y McAfee. Asimismo, Crossbeam hace uso del FireWall-1 de Check Point y de las tecnologías de filtrado de contenidos de Trend Micro, Aladdin y Websense.
Con tanta variedad, ¿que mínimo se ha de pedir a una appliance UTM? Según IDC, por UTM hay que entender un dispositivo de seguridad multipropósito con un conjunto de características básicas de cortafuegos, prevención y detección de intrusiones (IDS/IPS) y antivirus. Muchos de estos productos ofrecen también redes privadas virtuales (VPN), antispam, antispyware y filtrado de contenidos Web. Hasta aquí la teoría. En la práctica, las cosas han dejado de estar tan claras y, aunque hablar hoy de cortafuegos UTM es casi redundante, no todo dispositivo de esta categoría incorpora funciones de firewall. Los suministradores de cortafuegos han ido evolucionando sus ofertas y todos los productos actuales incluyen la opción de soportar también algunas capacidades UTM, si bien los de muy alta gama no proporcionan mucho más que prevención de intrusiones y VPN. A la inversa, las cosas cambian: sea por estrategias de marketing o para ampliar la base de clientes, este mercado se ha difuminado tanto que aparecen hoy productos catalogados como UTM que no incluyen cortafuegos.
Dentro de todo esta amplia, variada y en ocasiones confusa oferta, los cortafuegos UTM “todo en uno” están teniendo una gran aceptación entre las empresas, especialmente las pymes. En principio, las ventajas son evidentes: el despliegue de un único dispositivo multifunción reduce costes y simplifica la configuración. Además, al integrar múltiples prestaciones en un únicoproducto, permite a los administradores de red reforzar las políticas de seguridad a escala corporativa más fácilmente. Asimismo, hace posible detectar los retos que emplean una combinación de ataques (virus, gusanos, troyanos y ataques de denegación de servicio, por ejemplo) diseñada para burlar una única línea de defensa.
Sin embargo, pese a sus ventajas y beneficios, estos dispositivos también tienen sus puntos débiles. Uno de los principales es que se apoyan en complejos requerimientos de procesamiento de paquetes que acaban por impactar el rendimiento. No es infrecuente que tal impacto reduzca el rendimiento hasta en un 50% (aunque algunos suministradores no reconocen una pérdida superior al 10%) cuando se activan todas las funciones; un inconveniente común tanto a los dispositivos UTM de baja gama y a los preparados para soportar velocidades de varios gigabits por segundo. El problema, obviamente, no pasa desapercibido a los fabricantes, que algunas veces aconsejan a sus clientes compensarlo con más ancho de banda o el despliegue de tecnologías de aceleración de hardware para mejorar la capacidad de proceso y reducir la latencia.
En cualquier caso, los defensores de UTM argumentan en su favor que no se trata de un problema ajeno a los sistemas autónomos dedicados. Individualmente, estos productos suelen ofrecer una capacidad satisfactoria con bajos niveles de latencia pero cuando se implementan en modo serial, enfoque imprescindible para conseguir una verdadera defensa a fondo, se genera un proceso acumulativo que ralentiza significativamente el tráfico.
El problema del rendimiento se agrava cuando la red ha de tratar aplicaciones sensibles a los retardos, como la telefonía IP. Para solventar la cuestión, algunos fabricantes están añadiendo control QoS en sus dispositivos a fin de dar prioridad a las aplicaciones IP. También se está añadiendo soporte IKE 2.0, asumiendo que este estándar VPN será utilizado por los usuarios de telefonía IP.

Despliegue en grandes redes
Decidir desplegar dispositivos UTM en una pyme es una cuestión sencilla: sus ventajas pueden compensar fácilmente sus inconvenientes. Pero, según los expertos, no es recomendable contar con un único punto de mitigación de riesgos a través del cual fluya todo el tráfico cuando la red cuenta con docenas, cientos o miles de localizaciones; y por varias razones. Hay responsables de TI que son reacios a poner todas sus herramientas de seguridad en un mismo punto, por cuanto tales despliegues suponen un único punto de fallo. No obstante, se puede soslayar este inconveniente instalando UTM en forma redundante con propósitos de failover, lo que ofrece mayores niveles de disponibilidad. Además, como en las redes de gran tamaño la capacidad de proceso real es una cuestión crítica, los responsables de TI a menudo prefieren distribuir la protección contra retos en vez de centralizarla, simplemente para reducir la probabilidad de que se produzca un cuello de botella del rendimiento.
Por otra parte, el estilo y calidad de las características de mitigación de retos que comúnmente proporcionan los dispositivos UTM para pymes pierden interés para las grandes empresas, con requerimientos más exigentes y arquitecturas de seguridad más complejas. Esto suele ser evidente en lo relativo a las características y funcionalidades antispam de los cortafuegos UTM, que no pueden compararse con las que aportan los dispositivos autónomos de nivel empresarial dedicados específicamente a estas tareas. Las funciones antispam y antivirus de los cortafuegos UTM no son tan eficientes porque el software y el hardware que subyace no se diseñaron originariamente para satisfacer la gestión de este tipo de amenazas Por ejemplo, sin un enlace al directorio corporativo, no es posible introducir personalización y diferenciación de usuarios en la configuración.
No obstante, están apareciendo en el mercado nuevos productos que reflejan un replanteamiento de los requisitos del software y el hardware para proporcionar mejores prestaciones de mitigación de amenazas. Pero muchos administradores de red siguen siendo escépticos, y aún dudan si activar estas funciones en sus nuevos cortafuegos UTM por temor a la proliferación de falsos positivos y a perjudicar el rendimiento.
Ante estos inconvenientes, ¿tiene sentido desplegar UTM en las grandes compañías? La respuesta es definitivamente sí, y por las mismas razones que son válidas para las pymes: menos complejidad, gestión simplificada y mayor flexibilidad.

Menor complejid

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios