Eine gegen alle

22.08.2006
Von Igor Levin
Eine Lösung - und das Firmennetz ist vor allen Gefahren gefeit. Diesen Luxus versprechen Unified-Threat- Management-Appliances (UTM). Doch welches Einsparpotenzial birgt der All-in-one-Ansatz wirklich?
Mittels intelligenter Multi-Layer-Architektur sorgt eine UTM-Appliance dafür, dass der All-in-one-Ansatz neben Kostenvorteilen effizient umfassenden Schutz bietet.
Mittels intelligenter Multi-Layer-Architektur sorgt eine UTM-Appliance dafür, dass der All-in-one-Ansatz neben Kostenvorteilen effizient umfassenden Schutz bietet.

Die Industrieanalysten von IDC klassifizieren UTM-Appliances als Produkte, die verschiedene Sicherheitslösungen in sich vereinen. Die All-in-one-Systeme müssen die Funktionen einer Netz-Firewall und einer VPN-Appliance (Virtual Private Network) abdecken. Zudem verfügen sie über Sicherheitsfunktionen wie URL-Filterung, Spam-Blocking, Spyware-Schutz, Intrusion Prevention und Virenschutz am Gateway. Darüber hinaus ermöglichen die Geräte ein zentralisiertes Management beziehungsweise Monitoring.

Hier lesen Sie …

Mehr zum Thema

www.computerwoche.de/

572883: IT-Sicherheit hat höchste Priorität;

547264: IDC: Markt für Security Appliances wächst weiter;

543304: Security-Appliances sind stärker gefragt;

561560: Aufstellen, anstöpseln und vergessen;

575728: Security-Appliance mit "Virtual-Machine"-Ansatz.

All-in-one statt Flickwerk

In der Vergangenheit haben Firmen ihre Netzinfrastruktur beim Aufkommen einer neuen Sicherheitsbedrohung stets um eine weitere Box aufgerüstet. Die Zusatzlösungen stammten in der Regel von jeweils unterschiedlichen, auf bestimmte Security-Bereiche spezialisierten Anbietern. Dadurch waren innerhalb des Unternehmens nicht nur verschiedene Sicherheitssysteme, sondern auch unterschiedliche Management-Konsolen im Einsatz. Wartung und Pflege der heterogenen Lösungen erforderten nicht selten einen hohen Zeit- und Ressourcenaufwand - schließlich muss sichergestellt werden, dass die unterschiedlichen Einstellungen gut zusammenarbeiten, um einen adäquaten Unternehmensschutz zu gewährleisten. Da zudem jedes einzelne System die Log-Informationen in einem anderen Format erstellt, wird das Aufspüren von Gefahren und ihre Analyse noch zusätzlich erschwert.

Security-Drehscheibe

Eine UTM-Appliance fungiert als Schnittstelle für sämtliche Funktionen, was deren Administration erheblich vereinfacht. So lassen sich Ereignisse durch die einheitliche Protokollierung in einem Format schneller und effektiver auswerten. Zudem reduzieren sich mit Hilfe einer All-in-one-Sicherheitslösung die Hardwareaufwendungen, da Unternehmen nur noch ein bis zwei Geräte unterhalten müssen. Aber auch die operativen Kosten gehen zurück, da entsprechend weniger IT-Administratoren beschäftigt und geschult werden müssen.

Vor allem mittelständische Unternehmen setzen auf UTM-Appliances. Sie wollen eine Lösung aus einem Guss, die einfach zu installieren und zu warten ist und dabei alle wesentlichen Sicherheitsfunktionen umfasst. Wie jede neue Lösung bringt aber auch der Rund-um-Schutz in einer Box Probleme mit sich, die erst einmal gelöst werden müssen. Nicht zuletzt aus Kostengründen sollten Firmen vor der Kaufentscheidung eine Reihe typischer Sicherheits- und Performance-Aspekte genau unter die Lupe nehmen.

Was zu prüfen ist

Die meisten Hersteller setzen eine signaturbasierende Sicherheitstechnik ein, um Gateway-Antivirus, Spyware-Schutz, Intrusion Prevention sowie Spam-Blocker zu bieten. Der Grund: Sie ist leicht zu implementieren und optimal im Einsatz gegen bekannte Bedrohungen. Ungeeignet ist sie allerdings für die proaktive Abwehr neuer oder veränderter Gefahren. Darüber hinaus sind signaturbasierende Techniken auf Updates angewiesen, um den ankommenden Traffic mit der jeweils aktuellen Authentisierungsvorlage abzugleichen. Hierzu müssen die Anbieter zunächst das Signatur-File zum Download bereitstellen - ein Prozedere, das in Extremfällen bis zu einigen Wochen dauern kann. In diesem Zeitraum ist das Netz vor weiteren Attacken ungeschützt, es sei denn, die Sicherheits-Appliance bietet einen so genannten Zero-Day-Schutz, der nicht auf Signaturen angewiesen ist. Jeden Tag kommen neue Bedrohungen auf, die sich meist auf Techniken von Vorgängerattacken stützen. Mittels Zero-Day-Protection ist die Appliance in der Lage, den Verteidigungsmechanismus zu erkennen und die Gefahr bereits im Vorfeld zu beheben.

Die Appliance als Bremsklotz

Die UTM-Appliance kann aber auch die Netzleistung beeinträchtigen. Der Grund: Viele Geräte koordinieren mehrere Sicherheitsfunktionen - häufig von unterschiedlichen Herstellern - gleichzeitig, ohne deren spezifischen Prozessablauf zu kennen. In der Regel arbeiten diese Komponenten unabhängig voneinander und eben nicht zwangsläufig Hand in Hand. Das bedeutet, dass neue Informationen von einem Layer nicht in jedem Fall an die nächste Schicht weitergegeben werden. Aus diesem Grund wird "normale" und damit unbedenkliche Geschäftskorrespondenz häufig unnötigerweise von mehreren Sicherheitsstationen überprüft. Zu vermeiden ist dies mit Hilfe eines intelligenten UTM-Softwaredesigns, das den "guten" Verkehr nicht der vollständigen Sicherheitsprüfung unterzieht und auf diese Weise schneller passieren lässt.

Auch die Ressourcenverteilung birgt Gefahren für die Performance: Wird beispielsweise für das VPN mehr Leistung benötigt, leiden unter Umständen andere Bereiche wie Firewall, Intrusion Prevention oder Spam-Blocking darunter. Dieses Problem lässt sich allerdings durch ein dynamisches Bandbreiten-Management umgehen. Hierbei erhält der Netzverkehr für kritische Applikationen oder Zugriffe - etwa VPN-Traffic - Vorrang vor anderen Services wie beispielsweise dem Zugriff auf Web-Seiten.

Single Point of Failure

Ein weiterer kritischer Aspekt ist der Single Point of Failure. Hierunter sind diejenigen Komponenten eines Systems zu verstehen, deren Ausfall es komplett zum Erliegen bringen. Für den Einsatz einer UTM-Appliance bedeutet das: Fällt sie aus, sind auch alle anderen Sicherheitsfunktionen nicht mehr verfügbar. Reduzieren lässt sich dieses Risiko, indem UTM-Systeme in High-Availability-Konfigurationen eingesetzt werden, bei denen ein zusätzliches Gerät (Cluster) in das Netz eingebunden wird.

Grundsätzlich sollte eine umfassende UTM-Appliance proaktiven, integrierten und mehrschichtigen Schutz bieten. Diese Multi-Layer-Sicherheitsarchitektur sollte zahlreiche Funktionen wie Stateful-Firewall, Angriffsschutz, VPN, Filterung auf Anwendungsebene, Spam-Filter sowie Virenschutz und Content-Analysen bieten. Die All-in-one-Sicherheitslösungen eignen sich für Unternehmen mit begrenzten IT-Ressourcen sowie für den Einsatz in Firmenzentralen bis zu einer Größe von 500 Mitarbeitern, aber auch in Niederlassungen großer Unternehmen ohne eigene Technikabteilung.

Ein Blick in die Zukunft

Nach Einschätzung von IDC werden UTM-Geräte in absehbarer Zeit zu den führenden Segmenten im europäischen Markt für Sicherheits-Appliances gehören. Bis zum Jahr 2009 erwarten die Analysten ein Umsatzvolumen in Höhe von 1,4 Milliarden Dollar. UTM-Appliances sind demnach kein Nischensegment mehr: Vielmehr werden Unternehmen nach den Prognosen der Marktforscher bereits im kommenden Jahr mehr Geld für All-in-one-Security-Lösungen ausgeben als etwa für Stand-alone-Firewalls.

Angesichts des hohen Wachstumspotenzials hat die Zahl der Anbieter im UTM-Segment stark zugenommen: Mittlerweile sind rund 50 Hersteller mit ihren All-in-one-Sicherheitsboxen am Markt. Da jedoch bei weitem nicht alle die erforderlichen Kriterien erfüllen, dürfte das Gros langfristig nicht überleben. Darüber hinaus verlangt der UTM-Ansatz von Unternehmen eine langfristige Investition in Sicherheitslösungen. Daher müssen die Wiederverkäufer sorgfältig auswählen, bevor sie sich auf einen Anbieter festlegen. Es ist davon auszugehen, dass sich der UTM-Markt entsprechend der Kundengröße segmentieren wird. Davon profitieren besonders kleinere bis mittlere Firmen, die auf diese Weise ein breites Spektrum an Sicherheitsfunktionen zu akzeptablen Preisen erhalten. (kf)