In 2004 introduceerde de zeer gerespecteerde analistenclub IDC het begrip United Threat Management (UTM). Hierbij voorspelden ze een ontwikkeling waarbij de traditionele functies van een firewall (packet dan wel statefull) in een appliance 'geconsolideerd' zullen worden met nieuwere rollen als Intrusion Detection en Prevention, mail en browse encryptie, packet shaping, antivirus en antispam en VPN terminatie. Volgens IDC is deze ontwikkeling wenselijk voor onder meer banken, overheden en nog 15 andere sectoren die één gezamenlijk kenmerk hebben: het zijn grote clubs. De analisten zijn het er met zichzelf over eens dat er dus een zeer grote markt bestaat voor UTM. Volgens IDC zullen UTM appliances in 2009 de helft van de hele verkoop van security apparaten uitmaken. ITSecurity.com meldt dat deze magische dozen "proactieve bescherming bieden tegen bekende én onbekende aanvallen". Bescherming snap ik. Maar wat is er nu precies proactief?

In de praktijk is 'een UTM' een firewall die voorbij packet filtering of statefull inspection gaat. Gartner geeft aan deze ontwikkeling een iets minder hoogdravende naam: Next Generation Firewalls. Maar ook die term impliceert dat het iets is wat je gaat willen. Feitelijk bouwt de UTM voort op de traditionele application layer gateway, wat tegenwoordig vaak aangeduid wordt als proxy based firewall. De kern is het samenvoegen van alle netwerk perimeter functies. Het probleem dat UTM wil oplossen is dat een Best-of-breed combinatie van tig van deze rollen leidt tot een filtering DMZ waarin rustig een twintigtal kostbare doosjes staan te zoemen: kostbaar in aanschaf en complex in beheer.

Anno 2007 is UTM natuurlijk al passé, we evolueren immers van Anomaly Based naar Identity Based beveiliging. Nou, geen zorg, er zijn al leveranciers die Network Access Management aan het koppelen zijn aan hun doosjes van Pandora. Er komt er vast nog wel eentje op het idee er XML signatures en Windows Rights Management aan te lijmen. Kan het nog járen mee.

Managerial is UTM natuurlijk een zegen: een stuk minder dozen en minder beheerders betekent dat je minder geld uitgeeft en minder zeurpieten op de loonlijst hebt staan. Bovendien heb je aan een appliance geen beheerkosten, nietwaar?

Dit idee wordt ondersteund door certificeringclubs die er een kwaliteitsstempel op drukken. Niemand kan meer hard maken dat de doos in kwestie niet goed is: dure mensen hebben vastgesteld dat het prima producten zijn en dure raad is goed. Ik heb een hint voor iedereen die op die manier met een UTM opgezadeld dreigt te worden: lees het testverslag. Wát is er getest? Wat betékent een 'Common Criteria' level 4 nu eigenlijk? Er is een belangrijk semantisch verschil tussen een kwaliteitscertificaat van een gerenommeerde instelling en kwaliteit zoals normale mensen dat ervaren. Meestal betekent een certificaat dat je een bepaald theoretisch beveiligingsniveau kunt bereiken - mits je allerlei andere zaken rond het product op een bepaalde manier doet, die misschien niet helemaal aansluiten bij je eigen werkelijkheid. Dat niveau beschrijft de inspanning die je doet, maar zegt hooguit indirect iets over de veiligheid. Ik zie de gevolgen al voor me. 'Ja baas, we hebben wel een netwerk vol virussen en wormen die onze belangrijkste klant besmet hebben, en iemand gebruikt onze firewall als Counterstrike server, maar we zijn toch wel mooi wél level 3 qua beveiliging'.

Technisch georiënteerde beveiligers moeten over het algemeen weinig hebben van Multi-functie doosjes. Immers: je creëert een Single Point of Failure. Bovendien is een all-in-one zelden op alle gebieden even goed. Ook hier schiet ITSecurity.com te hulp: ze melden dat een UTM 100% van alle virussen vangt, antispam 95% scoort en anti-spyware 97%. Blijkbaar detecteert Trend beter virussen als ie op een packet shaper draait. De praktijk zal bewijzen dat de techniek niet beter wordt als je de functies opeenstapelt in een enkele machine.

En is het wel een enkele machine? Als één functie te maken krijgt met een veel hogere belasting (bijvoorbeeld veel gefragmenteerde packets) dan mag dat niet ten koste gaan van de werking van de andere functies. Dit houdt in dat er een reserve rekencapaciteit moet zijn voor iedere functie. Effectief betekent dit dat alle functies hun eigen reserve zullen hebben, met een sterke scheiding tussen de rollen. Is een UTM dan in feite niet meer dan tig doosjes in één omhulsel, met een geünificeerd beheerschilletje? Oftewel: de totale hoeveelheid benodigde rekenkracht neemt niet af, dus in plaats van 6 lichte dozen heb je één doos die zeven keer zo zwaar is - alleen in één chassis met drie netwerk interfaces. Je kúnt ook geargumenteren dat een quad quadcore server met 32GB natuurlijk wel één systeem lijkt, maar er eigenlijk gewoon zestien zijn.

Alleen, dit is een boodschap die je moeilijk over de bühne krijgt bij het gemiddelde management. Bovendien speelt mee dat je nu eenmaal zelden het allerbeste krijgt, misschien wel om te bewijzen dat jij niet de baas bent, maar zij. Daarom is het belangrijk om je te realiseren dat er betere argumenten bestaan.

Vereenvoudiging van beheer wordt voorgesteld als één van de grootste winstpunten. Je hoeft immers minder dozen in de lucht te houden. Hieronder zit een levensgrote denkfout: beveiligingsbeheer is niet het in de lucht houden van beveiligingsdoosjes, maar het zorgen dat ze doen wat ze moeten doen, en acteren op de informatie die ze opleveren. Een firewall is categorisch anders dan een reguliere server: voor een IT club moeten een server 'up' zijn, zodat de gebruikers hun ding kunnen doen. Maar van een beveiligingsdoosje ben je zélf de gebruiker. Het is geen ding dat 'het moet doen', je moet er zélf je ding mee doen. En daarom neemt met een 'unified' oplossing de hoeveelheid beheer niet af. Of je rar parser nu in een UTM zit of in een open source doos die virussen scant, je zult de functie tijdelijk moeten uitschakelen als er weer eens een gat gevonden wordt in de parser en de patch nog niet beschikbaar is. De signatures die de IDS dan wel de IPS gebruikt werken niet out of the box, je zult ze altijd moeten afstemmen op je omgeving. En als ze iets engs zien, moet je wat dóen. Dit beheer blijft, of het nu één appliance, tien appliances of twintig BSD servers zijn.

Erger nog. Het feit dat veel functies in één chassis zitten, compliceert het beheer. Je hebt immers tal van gelijktijdige ingrepen om de verschillende functies goed uit te kunnen blijven voeren. Dan gaat de change kalender je bijten: je wilt immers niet in ieder onderhoudswindow twintig wijzigingen op een enkel systeem doorvoeren. Bij veel verschillende dozen is het risico van interferentie van changes veel kleiner. Kort samengevat: beheer wordt met UTM juist níet eenvoudiger. Het beheer van beveiligingsmiddelen is gerelateerd aan functies en niet aan een enkele doos of een heleboel dozen. Het wordt dus ook niet goedkoper, want de hoeveelheid werk blijft hetzelfde. De enige kostenvoordelen bestaan uit minder inkoop en minder housing. Of dit opweegt tegen de grotere beheercomplexiteit en interferentierisico's, moeten de voorstanders van de geünificeerde toverdoosjes maar aantonen.

IDC roept inmiddels dat Fortinet marktleider is op dit gebied. Grappig, want hoewel een Fortigate een heel leuk doosje is, heeft ze lang niet alle functies die een UTM system zou moeten hebben. Dames en Heren ontwikkelaars: ga niet bouwen wat IDC en vergelijkbare clubjes bedenken. Hoewel het marketingpad voor je klaar ligt, en je weinig moeite zult hebben investeerders te overtuigen, neem je het grote risico iets te ontwikkelen waar niemand op zit te wachten. Laat het UTM verhaal maar voor zich spreken – de zoveelste hype waar niemand ooit van gehoord heeft. Heren managers: zeg die abonnementen op en laat het kiezen van oplossingen over aan mensen die het probleem begrijpen. Ze zeuren wel, maar je betaald ze toch al elke maand hun salaris.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter