Zowel Cisco Systems als Juniper Networks introduceerde de afgelopen maand appliances waarin verschillende beveiligingscomponenten geïntegreerd zijn. Check Point Software Technologies kiest voor een softwarematige bundeling van losse oplossingen. Het argument dat ‘all-in-one’ oplossingen gericht zijn op de MKB-markt en zogenoemde ‘point solutions’ (losse producten) op de grootzakelijke markt, geldt volgens de betrokkenen niet meer. Wat moeten resellers hun klanten adviseren?
Peter Sandkuijl, technisch manager Benelux van Check Point, deelt beveiliging niet in naar markt, maar naar drie toepassingsgebieden: de grenzen van het netwerk, het interne netwerk en internet. Sandkuijl: ‘Hiervoor zijn heel verschillende oplossingen vereist. De grenzen moeten beveiligd worden met een firewall en antivirusproducten. De interne netwerkbeveiliging wordt verzorgd door InterSpect en voor de internetomgeving leveren we bijvoorbeeld de SSL VPN-portal Connectra. Elk product dient zijn eigen doel.’
Volgens Hendrik Blokhuis van Cisco moeten appliances niet gezien worden als alternatief voor point solutions, maar als aanvulling daarop. ‘Met Cisco kunnen klanten voor appliances, maar ook voor losse oplossingen gaan. We merken echter dat geïntegreerde producten voordelen hebben en ook gewenst zijn. Op een hoger niveau kan beveiliging ook geïntegreerd worden in het netwerk zelf, dus in het switchen en het routen, of als losse appliance, of beide. Het is de klant die de keuze maakt op basis van het beveiligingbeleid, waarbij de organisatie ook een rol kan spelen.’
Keuze is ook het sleutelwoord bij Juniper, zegt Anton Grashion, EMEA product manager security van Juniper. ‘We waren aanvankelijk heel goed in de firewall- en VPN-appliances en hebben dus altijd appliances in het portfolio gehad. Dat combineren we met “best-of-breed” partners in een totaaloplossing. Daarnaast introduceren we een low-end platform voor het MKB, waarin antivirus van Trend Micro en URL-filtering van SurfControl geïntegreerd zijn.’
Ten slotte kunnen appliances ook geïntegreerd worden in het netwerk, stelt Blokhuis. ‘De Cisco ASA 5500 integreert firewall, applicatiebescherming, intrusion detection en VPN in één appliance. Aan de andere kant is de ASA 5500 zelf ook een point solution, die geïnstalleerd kan worden naast andere geïntegreerde oplossingen. Klanten kunnen dus kiezen voor de ASA als één van de geïntegreerde oplossingen binnen het netwerk.’ Grashion volgt deze denkwijze niet. ‘Dat argument is niet steekhoudend, want er worden nu eenmaal verschillende technologieën gecombineerd in de appliance. Cisco ziet het waarschijnlijk als een point solution omdat het ASA-platform een aparte beheerconsole heeft, naast die voor de overige producten.’
Beheergemak
De keuze gaat volgens Sandkuijl voor eindgebruikers niet om een appliance of een point solution, maar om het beheergemak. ‘Klanten geven een hoge prioriteit aan beveiliging, omdat dit tegenwoordig deel uitmaakt van de bedrijfsstrategie, maar de groei van de ICT-afdeling is niet navenant. Men moet het doen met de mensen en middelen die er zijn. Het probleem is hierdoor het effectief beheren van alle security componenten, want er komt steeds meer bij. Een hardwareproduct waar alles in zit, is geen oplossing als deze bestaat uit componenten die toevallig naast elkaar werken in chassis. Dat wil namelijk nog niet zeggen dat daadwerkelijk beveiligingsbeheer vanuit één console mogelijk is.’
Ook voor het beheer van de oplossingen draait alles om keuzes, meent Grashion. ‘Voor onze appliances is onderhoud mogelijk direct in het systeem of via een webgebaseerde interface. Als de oplossing groot genoeg is, is NetScreen Security Manager een goede optie, dat het beheer van alle hard- en software mogelijk maakt in een enkele beheerconsole.’
Beheer van afzonderlijke componenten in de ASA vindt volgens Blokhuis via één console plaats. ‘Dat is een heel belangrijk punt en dat kunnen we ook. Daarnaast werken we ook samen, bijvoorbeeld voor network admission control, met partijen zoals IBM en Tivoli, zodat we een module vormen binnen het enterprise managementsysteem. Het werkt allemaal goed samen en dat is ook een voorwaarde bij een overname. We willen niet dat een klant met twee verschillende oplossingen zit.’
Sandkuijl beaamt dat appliances voor ICT-beheerders is fysiek gemakkelijk zijn, maar stelt dat deze vaak meer werk met zich meebrengen door het onderhoud van de beveiligingsproducten die ze bevatten. ‘Er moeten nog steeds aparte consoles geopend worden om alle componenten te onderhouden en te beheren. De verschillende beveiligingspunten in het netwerk blijven bovendien controle en updates vereisen. Daarnaast moet er een correlatie gemaakt worden tussen alle rapporten die de afzonderlijke producten van de appliance genereren.’
Acquisitie leidt niet tot integratie
Integratie gaat verder dan verschillende producten in één doos. Sandkuijl: ‘Veel bedrijven willen alles kunnen invullen. De strategie om dat doel te bereiken bestaat over het algemeen uit overnames. Acquisitie van point technology leidt echter niet tot een volledig geïntegreerd product.’ Dat blijkt volgens de technical manager uit de appliance van Cisco, maar ook de SSL VPN-boxen die Juniper verkreeg via een overname hebben een eigen beheerconsole. Ook Check Point zelf pleegt acquisities en de overname van Zone Labs voegde producten voor end-point security toe aan het portfolio. Dit is echter inmiddels volledig geïntegreerd in het hele productportfolio, aldus Sandkuijl.
De appliance van Cisco is niet uitsluitend het resultaat van overnames, benadrukt Blokhuis. ‘De afgelopen twee, drie jaar hebben we zeven overnames gedaan op het gebied van security. Medio mei kwam daar Fineground Networks bij, dat zich puur richt op applicatiebeveiliging en -versnelling. Daarnaast hebben we in 2004 meer dan 300 miljoen dollar geïnvesteerd in R&D en gaan we partnerships aan, bijvoorbeeld met Trend Micro. De producten komen tot stand vanuit die drie invalshoeken. Overnames zijn een belangrijk onderdeel, maar we steken ook veel geld in bijvoorbeeld de integratie in ons routing-platform. Bovendien is de ASA volledig door Cisco zelf ontwikkeld.’
Marktbenadering
De grootzakelijke markt zal volgens Sandkuijl niet snel kiezen voor een chassis waar alles in zit. ‘Alleen al vanwege het feit dat de auditor het er niet mee eens zal zijn. Want één beveiligingslek in dat apparaat geeft toegang tot alles. Als het apparaat uitvalt, valt alles uit.’ Volgens Blokhuis is dit eenvoudig op te lossen met redundante (dubbel uitgevoerde) oplossingen. ‘Redundantie zit tegenwoordig in ieder netwerkontwerp, omdat hoge beschikbaarheid een vereiste is voor spraak-, data- en videoverkeer via het netwerk.’
Grashion: ‘Het hangt er helemaal vanaf hoeveel risico de eindgebruiker bereid is te nemen. Er zijn weinig bedrijven in het financiële segment die hun netwerken en beveiliging niet redundant uitgevoerd hebben. Dat geldt overigens ook voor de software, wat vaak nog problematischer is, want dan is het bij het falen van het systeem moeilijk vast te stellen of het aan de hard- of aan de software ligt. In het MKB of de SOHO-markt is het waarschijnlijk minder rampzalig als een kleine appliance tijdelijk uitvalt.’
Toch is een all-in-one appliance niet per definitie uitsluitend voorbehouden aan het MKB, meent Sandkuijl. ‘Het verschil tussen de enterprise- en MKB-markten is uitsluitend dat de eerste waarschijnlijk meer beveiligingscomponenten nodig heeft. De behoefte is echter overal gelijk: consistent beheer, beleid, controle, onderhoud en training, en dat allemaal ondergebracht in één centrale console. Wel is men laag in de markt, het MKB en de SOHO-markt, op zoek naar de bundeling van technologie in één product. Check Point introduceerde daarom ExpressCI, een bundeling van firewall, VPN, intrusion detection en antivirus: één platform met verschillende zaken die eindgebruikers gegarandeerd nodig hebben. Dat geeft MKB-bedrijven alles wat grote ondernemingen ook hebben, aangepast naar hun schaalgrootte, met centraal beheer.’
Ook Blokhuis stelt dat de keuze tussen appliances en point solutions niet eenvoudigweg van de bedrijfsomvang afhangt. ‘Ook bedrijfscultuur en verantwoordelijkheden van de verschillende afdelingen spelen een rol. Soms ligt het beheer van beveiliging bij andere mensen dan het netwerkbeheer. In dat geval is een appliance vaak een goede optie, omdat men niet wil dat de netwerkmensen aan de beveiligingsoplossingen komen en vice versa. Daarnaast wil men vanuit het beveiligingsaspect graag een appliance met zoveel mogelijk componenten daarin geïntegreerd, om geen last te hebben van het feit dat het ook een router is die weer met anderen gedeeld moet worden. Dat is voor Cisco een belangrijke reden geweest om klanten de keuze te bieden, en we leveren beide opties.’
Grashion voegt daaraan toe dat de marktgrenzen niet zo duidelijk af te bakenen zijn. ‘Ook in de grootzakelijke markt kan een appliance een goede toevoeging zijn aan de beveiligingsomgeving, bijvoorbeeld met een combinatie van een hoogwaardige statefull inspection firewall met een volledig intrusion detection-systeem. Nu grotere leveranciers zowel gecombineerde oplossingen bieden als de keuze hoe technologie gecombineerd wordt, kunnen grote bedrijven zeker appliances toepassen.’
Hardware
Bovendien bevat de hardware van een appliance per definitie niet de allernieuwste technologie, aldus Sandkuijl. ‘Het is een apparaat met een netwerkkaart, geheugen en een processor. Daarop draait een besturingssysteem en de beveiligingsapplicaties. Het enige verschil met een hedendaagse Intel-server die over allernieuwste architectuur beschikt is dat een appliance vaak langer geleden ontwikkeld is. Appliance-leveranciers moeten hun producten ten minste een aantal jaren dragen, waardoor deze altijd achterlopen in hardwareontwikkeling.’ Check Point heeft er daarom voor gekozen om een cd-rom te ontwikkelen met een besturingssysteem OS en de applicaties. ‘Deze kan geïnstalleerd worden op het nieuwste Intel-platform,’ zegt Sandkuijl. ‘We stellen mensen dus in staat om een eigen appliance te bouwen met de laatste technologie.’
Dat een alles-in-een oplossing onderhevig is aan veroudering, is volgens Blokhuis een ‘non-discussie’: ‘Iedere server heeft zijn grenzen. In de hele ASA-lijn hebben we oplossingen voor het MKB tot en met de grootzakelijke markt, dus men kan qua prestaties goed schalen. Veel functionaliteit zit in de software van de oplossing en deze valt goed te upgraden. Overigens heb ik software nog nooit op software zien draaien. Software heeft altijd hardware nodig en deze veroudert, dat is een feit. Dat geldt dus net zo goed voor zelfgemaakte appliances. Als software geïnstalleerd wordt op een server moet er bovendien iemand zijn die van beide verstand heeft, wat twee soorten kennis vereist.’
Best-of-breed
Volgens Sandkuijl is de keuze voor resellers niet eenvoudig: ‘Resellers willen goed advies geven, maar ook omzet genereren. Het advies zal daarom al snel zijn om meer componenten te plaatsen, want dat zijn meer licenties. Met deze instelling zullen echter ook verkopen aan hun neus voorbij gaan, omdat de economische druk dwingt tot kostenbesparingen. Daarom overwegen zij toch het advies van all-in-one oplossingen. Daarbij worden echter vaak concessies gedaan aan één of meerdere componenten. Eén onderdeel van de appliances is dan heel goed, maar andere niet. Dat heet dan “good enough” security. Waarom veroordeelt men het MKB tot bijvoorbeeld een mindere firewall, alleen omdat men alles gebundeld wil hebben op één platform?’
Blokhuis: ‘Wij praten niet over een appliance of best of breed, maar over het feit dat het netwerk tot in de haarvaten beveiligd moet worden. Zowel bij end-point security en in het netwerk als in onze routers bieden wij klanten volledige beveiliging.’ Die klant is namelijk gebaat bij een goed geïntegreerd beveiligingssysteem en moet daarin zelf keuzes maken, aldus Blokhuis. ‘Klanten stappen echter steeds meer af van het best-of-breed model, ook als het om netwerken gaat, omdat het qua TCO en kennis en kunde een enorme uitdaging is. Technologie moet gewoon goed zijn, maar ook goed samenwerken. Wie een keuze maakt uit een menukaart van verschillende leveranciers, heeft weliswaar de beste afzonderlijke producten, maar als deze niet samenwerken, is de totaaloplossing minder goed dan een appliance.’
Een appliance kan wel degelijk een best-of-breed oplossing zijn, zegt Grashion. ‘We bewijzen dat met onze producten. Dankzij onze partners kunnen we het beste van veel werelden bieden. Als een bedrijf een volledig redundant en beheersbare URL-filtering van SurfControl nodig heeft, dan moet dat mogelijk zijn. Maar als het zinvol is om dat te combineren met andere producten, afhankelijk van bedrijf, markt en bereidheid om risico te nemen, kan een all-in-one oplossing wel best-of-breed zijn.’