Co nowego w Sophos UTM Accelerated (9.2): #6 – Szybsze skanowanie IPS

W kolejnym artykule na temat nowości w ostatniej wersji Sophos UTM Accelerated (9.2) zajmiemy się bardzo ważnym zagadnieniem dla ochrony sieci: wydajnością. Często jest to parametr ,który nie jest brany pod uwagę przez klienta, a przynajmniej nie znajduje się na szczycie listy kryteriów. Niestety, stwarza to pewne możliwości związane z nieodpowiednim wyborem. A więc czy wydajność rzeczywiście ma znaczenie? Jeżeli tak to dlaczego?

Odpowiadając na pierwsze pytanie; na pewno tak, wydajności ma znaczenie. Jednak niektóre liczby przy określaniu wydajności są bardziej miarodajne od innych. Należy przeanalizować własne środowisko pod kątem indywidualnych wymagań.

Kilka rzeczy ma wpływ na przepustowość, którą aktualnie osiąga security gateway – typ użytkowników, w jaki sposób się łączą, infrastruktura serwerowa, itd. Oczywiście, podczas dopasowywania rozwiązania do indywidualnych wymagań, pierwszą rzeczą do rozpatrzenia będzie bazowy hardware.

Zarówno Sophos jak i Cyberoam oferują urządzenia bazujące na standardzie technologicznym Intel. Wykorzystana technologia wielordzeniowa Intel przyczynia się do optymalizacji wykorzystania zasobów i jednocześnie oferuje platformę elastyczną do rozszerzania. Nie mniej software wewnątrz ma ogromne znaczenie w stosunku do wydajności.

Przepustowość firewalla

Jeżeli przepustowość firewalla jest jedyną liczbą, której szukasz w karcie produktu, możesz się wyraźnie rozczarować. Są to liczby często promowane w zewnętrznych testach. Ale nawet w tych sztucznych warunkach testowych, na prędkość zapory mogą mieć wpływ zarówno czynniki fizyczne urządzenia – np. liczba portów – jak i metodologia stosowanych badań.

Dajemy jedynie wskazówkę, aby uważać na okrągłe liczby – na ogół reprezentują one prędkość łącza, co oznacza, że urządzenie zostało przetestowane w taki sposób, że osiągnęło swój fizyczny limit maksymalnej przepustowości (spowodowany, przykładowo, ilością portów). Sama przepustowość firewalla nie powie nic na temat faktycznego spełniania wymagań przez dane rozwiązanie.

Wydajność IPS

Kolejną rzeczą, na która prawdopodobnie zwrócisz uwagę jest IPS. Intrusion Prevention System to integralna części każdej zapory. Dla wielu złem koniecznym jest przedstawienie jego wpływu na przepustowość w danym scenariuszu wykorzystania. Jednak IPS jest niezwykle skuteczny w ochronie sieci.

Głęboka inspekcja pakietów wykracza poza to, co potrafią tradycyjne zapory. Wpływ IPS na wydajność jest tematem szeroko dyskutowanym również przez naszych klientów i dlatego producent przeprowadzi szeregu pomiarów, aby znacznie zwiększyć wydajność IPS w Sophos UTM 9.2.

Poza zmianami w bazowym silniku, podjęto pracę również nad tym, żeby IPS był inteligentniejszy. Zoptymalizowany zestaw domyślnych reguł przynosi wiele korzyści, tak długo, jak system jest skonfigurowany, aby skanować usługi, które rzeczywiście są w użyciu (bo po co skanować ruch pod kątem podatności linuxowych, jeżeli nie korzystamy z takich serwerów?). Od razu można zobaczyć poprawę.

Obecnie Sophos UTM oferuje możliwość dostosowania, co skanować, z regułami czasowymi. Wiele reguł IPS chroni przed wybranymi, krótkotrwałymi podatnościami. Teraz użytkownicy mogą ustawić politykę IPS bazującą na wieku określonych podatności, aby inteligentnie zarządzać równowagą między ochroną i wydajnością.

Wstępne testy producenta pokazują, że klienci korzystający obecnie z Sophos UTM mogli zobaczyć od minimalnej do nawet trzykrotnej poprawy wydajności IPS w ich produkcyjnych scenariuszach, po upgrade do UTM 9.2 (w zależności od sposobu wdrożenia i szeregu innych czynników). To niezłe doładowanie.

Przepustowość skanowania antywirusowego

Przepustowość AV to kolejnych obszar, który pozwala na wprowadzenie w błąd. Możesz myśleć, że wystarczy porównać kilka kart produktów różnych producentów z innymi. Niestety, nie jest to takie proste.

Różni producenci stosują różne mechanizmy skanowania antywirusowego w swoich produktach do ochrony sieci. Większość wykorzystuje skanowanie przepływających danych. Ta metoda sprawdza najpierw kilka bajtów pakietu i, jeżeli nie znajdzie czegokolwiek, co uzna za złośliwe, ruch jest przepuszczany. Druga waga skanowania opartego na przepływie strumienia danych to fakt, że istnieje wiele typów dokumentów, spakowanych plików i archiwów, których system nie będzie w stanie sprawdzić. To pozostawia liczne dziury w twoim systemie bezpieczeństwa.

Najbezpieczniejszą metodą skanowania antywirusowego jest oparte na proxy. Skanowany jest cały plik, z możliwością zajrzenia do wielu typów skompresowanych plików, co zapewnia znacznie lepsze zabezpieczenie niż wcześniej omówiona metoda. Z uwagi na konieczność przeskanowania kompletnego pliku, metoda będzie nieco wolniejsza. Jednak ciężko mówić o kompromisie dotyczącym bezpieczeństwa w tak newralgicznej kwestii. To niemal oczywiste, że Sophos UTM wykorzystuje skanowanie AV oparte na proxy. W rzeczywistości, Sophos jest jednym z niewielu producentów, który oferuje dwa silniki skanowania dla jeszcze lepszej ochrony.

Więc wydajność nie jest tak czarno-biała, jak wielu mniej świadomych użytkowników mogła myśleć. Nie wydaje się również, żeby tego typu decyzje i porównania miały być łatwiejsze w niedalekiej przyszłości. Jednak następnym razem, kiedy dostawca stwierdzi, że jego produkt jest najszybszy, na pewno będziemy wiedzieli o co zapytać, aby dowiedzieć się jak to wygląda naprawdę.

W najbliższym czasie umieścimy ostatni z serii artykułów na temat najważniejszych zmian w Sophos UTM Accelerated (9.2). Zapraszamy do śledzenia naszego bloga.

Dodatkowe informacje można uzyskać po kontakcie z Sophos Platinum Partner – firmą Sun Capital.