La prima generazione di firewall ha ormai i giorni contati da quando le imprese, oltre alle consuete porte standard e alla tutela del protocollo, hanno iniziato a chiedere di più da questi venerabili dispositivi per la sicurezza di rete.
Molti produttori e analisti parlano di firewall di nuova generazione, dispositivi che integrano aspetti tipici dei firewall tradizionali, con funzionalità di sicurezza di rete, in particolare come layer di applicazioni di intrusion prevention system (IPS).
In una recente ricerca, gli analisti di Gartner John Pescatore e Greg Young hanno stimato che oggi l'1% di tutte le connessioni a Internet delle imprese sono rese sicure da firewall di nuova generazione. I due analisti ritengono che entro il 2014 tale percentuale salirà al 35%, con una percentuale di firewall di nuova generazione pari al 60% di tutti quelli acquistati.
Definizione di un firewall di nuova generazione
Molti fornitori propongono i loro firewall come prodotti di nuova generazione, ma non tutti i firewall di nuova generazione nascono allo stesso modo. La definizione della tecnologia varia, ma la maggior parte degli esperti concorda sul fatto che sia essenziale una profonda integrazione di multeplici funzionalità di sicurezza di rete in un unico dispositivo.
John Kindervag, senior research analyst di Forrester, ha detto che ritiene che i firewall di nuova generazione incarnino ciò che dovrebbe essere lo Unified Threat Management (UTM).
Il firewall di nuova generazione è un dispositivo gateway, che analizza un pacchetto da una prospettiva che va oltre il semplice Layer 3 per determinare se tale pacchetto possa passare attraverso una determinata porta.
Controlla dal Livello 3 al Livello 7 e valuta il pacchetto in transito a livello di applicazione, il che permette di prendere decisioni molto più ponderate. La chiave per riuscire con successo in questo intento sta nell'esaminare il pacchetto una sola volta, invece di sottoporlo alle funzioni di un dispositivo a poi a quelle del successivo.
"Molti dispositivi devono aprire il pacchetto a livello del firewall. Se il pacchetto ottiene il consenso, viene riassemblato e inviato all'IPS, dove sembra essere sul Layer 7 invece che sul Layer 3 - ha precisato Kindervag -. I firewall di nuova generazione renderanno meno netta la distinzione tra UTM, firewall e IPS e riusciranno a farlo all'interno di una singola CPU, all'interno di un singolo ciclo di clock e all'interno di un singolo percorso o flusso, in modo da avere una bassa latenza. avranno un buon rapporto prestazioni/prezzo e molto probabilmente sostituiranno diversi dispositivi. Conoscono le applicazioni e l'identità degli utenti, in modo da poter fornire più informazioni sulle minacce".
Consolidare le operazioni di sicurezza di rete
Il consolidamento dei dispositivi di sicurezza di rete è stato un fattore determinante nella decisione di John Shaffer di passare da un prodotto di Juniper Networks a uno di Palo Alto Networks. Shaffer, director of global systems e technology di Greenhill, una società di consulenza per operazioni finanziarie di fusioni e acquisizioni, ha detto di aver sempre amato i firewall Juniper in virtù della loro facilità d'uso e delle loro funzioni VPN. Ma reputa che le caratteristiche IPS dei prodotti Juniper di nuova generazione non siano abbastanza robuste.
"Ho valutato diversi tool di molteplici vendor in grado di affrontare malware e spyware e ho notato che ogni fornitore ha un'offerta specifica - ha detto Shaffer -. Tipping Point ha un suo prodotto e Blue Coat ne ha un altro. Perciò, per avere una soluzione efficace si dovrebbero integrare tutti questi prodotti, che però dovrebbero essere gestiti separatamente. E ciò è piuttosto complicato. Il nostro problema era di bloccare le web mail, nel rispetto della compliance aziendale, prima che potesse entrare nella nostra organizzazione. Un firewall standard non può fare una cosa del genere, così avevamo bisogno di qualcos'altro”.
"Trovare un fornitore che consolidi tali funzioni in una sola unità, per chi come noi ha un reparto IT abbastanza piccolo (con meno di 10 persone), è davvero difficile - ha aggiunto Shaffer - perché è necessario molto lavoro per tenere aggiornate e far funzionare tutte queste cose".
Sono state le funzionalità e la visibilità che fornisce sulle applicazioni IPS il firewall di Palo Alto a convincere Shaffer di implementarlo nella sua rete. Il manager ha sostenuto che ci sono altri prodotti IPS standalone che potrebbero avere migliori capacità del suo firewall Palo Alto, ma è probabile che egli non sarebbe in grado di sfruttare tutte le loro potenzialità a causa delle sue risorse limitate.
Un amministratore IT che deve gestite separatamente un firewall, un gateway per il Web filtering e un dispositivo per l'IPS non avrà abbastanza tempo per ottimizzare tutti e tre i prodotti, mentre può ottenere il massimo delle caratteristiche IPS della soluzione di Palo Alto, perché integra sia un IPS sia un firewall di base.
"La visibilità sulle applicazioni di Palo Alto offre un quadro molto più approfondito di ciò che sta succedendo e quali tipi di applicazioni stanno funzionando - ha affermato Shaffer -. Ma non si ha la garanzia di bloccare al 100% tutto ciò che vi passa attraverso. Se in azienda ci sono persone che viaggiano, può accadere che tali persone "prendano qualcosa" al di fuori della rete e lo portino al suo interno. Voglio bloccare il maggior numero di minacce possibile ma devo anche giungere a un compromesso: se alzo troppo il livello di intervento rischio di avere una serie di cose che non funzionano più come vorrei".
Kindervag sostiene che Palo Alto è uno dei produttori più di successo di firewall di nuova generazione in quanto è una startup. Essere un “giovane” vendor vuol dire non dover gestire codice legacy. L'hardware e il software sono stati realizzati appositamente per soddisfare le caratteristiche delle nuove generazione. Molti fornitori tradizionali sviluppano i propri prodotti a partire da vecchio codice e da vecchie architetture hardware, senza ripartire da zero.
Prestare attenzione alle caratteristiche
Alcuni dei più classici fornitori di firewall stanno iniziando a muoversi verso una nuova generazione di dispositivi, ha detto Kindervag. "Spostandosi verso Junos (il sistema operativo aperto di rete ndr) , Juniper ha la possibilità di dar vita ad alcune novità interessanti - ha sostenuto -. Non so però se sono già pronti. La transizione dalla ScreenOS a Junos non è ancora completa".
Per il momento, le imprese devono diffidare di quei venditori che dichiarano di produrre firewall di nuova generazione. Ognuno ha una propria definizione e le imprese potrebbero scoprire che i loro standard sono ben al di sopra di quelli di certi vendor.
"Penso che oggi sia difficile destreggiarsi tra i messaggi marketing - ha detto Kindervag -. Bisogna guardare un paio di cose: anzitutto le architetture hardware. Andate dal fornitore e chiedetegli: il vostro prodotto ha un processore sufficientemente veloce per elaborare tutti i pacchetti durante tutto il percorso attraverso il Layer 7 quasi in tempo reale ? Non vorrete certo che la latenza distrugga applicazioni come il VoIP".
Se un vendor di firewall utilizza un hardware nel tradizionale stile server con processori general-purpose, esiste un ragionevole dubbio che tale vendor possa garantire la potenza di calcolo necessaria per guardare un pacchetto secondo più layer e quindi eseguire le analisi necessarie a completare tutte le funzioni aziendali di nuova generazione che la vostra organizzazione sta cercando.
"La seconda cosa che dovete guardare è quanto "elegante" è il software - ha concluso Kindervag -. Se è difficile da configurare è difficile da gestire. Se dovete fare un sacco di cose dietro le quinte usando la linea di comando, probabilmente è un codice tremendamente vecchio, perché oggi nessuno scrive codice con questo genere di interfaccia".
