Gartner udostępnił raport podsumowujący sytuację na rynku korporacyjnych firewallami, w którym podkreśla m.in. wpływ wirtualizacji na wymagania związane z bezpieczeństwem. Raport zawiera również prognozy dotyczące wprowadzania nowych funkcjonalności do zapór sieciowych, aby dopasować je do potrzeb klientów i zmieniających się zagrożeń.
Na rynku produktów bezpieczeństwa duży udział mają korporacyjne zapory sieciowe (wartość sprzedaży tych urządzeń w 2007 roku wyniosła 2,8 mld dolarów). W tym segmencie działa wielu producentów, oferujących dojrzałe produkty. Tymczasem wyraźnie widać, że klienci korporacyjni mocno naciskają na obniżkę cen, co pokazuje niewielki wzrost tego segmentu rynku w 2007 roku – wyniósł on 6,5%. Natomiast cena 1 Gbit/s przepustowości firewalla spadła nieznacznie i wynosi ok. 8000 dolarów. Warto dodać, że producenci coraz częściej w cenie pomocy technicznej oferują również obsługę serwisową.
Klienci będą naciskać na dalsze obniżki cen, ponieważ oprócz firewalli, muszą stosować również innych mechanizmy zabezpieczeń. Wymusza to ewolucja zagrożeń, które stają się bardziej wyrafinowane, oraz potrzeby samych klientów. Aby zapobiec obniżce cen, producenci będą musieli rozszerzyć zapory sieciowe o nowe funkcjonalności.
Firewalle są niezbędne do zapewnienia bezpieczeństwa sieci, ale zmiany w firmach oraz nowe zagrożenia stawiają coraz większe wymagania tym urządzeniom. Obecnie oferowane urządzenia są bardzo zbliżone do siebie. O wyborze powinny decydować przede wszystkim możliwości zarządzania i integracji z istniejącymi zabezpieczeniami. Wymagania dotyczące zarządzania wynikają z konieczność obsługi coraz bardziej złożonych stref DMZ, w których pojawia się szeroka gama aplikacji: serwery WWW, bazy danych i serwery aplikacji. Ważnym czynnikiem pozostają funkcje raportowania, które informują już nie tylko o wprowadzanych zmianach, ale także, przez kogo zostały wprowadzone.
Wirtualizacja stawia nowe wyzwania
Wirtualizacja daje możliwość tworzenia nowych zapór sieciowych, np. zastąpienia wielu oddzielnych fizycznych firewalli jednym przełącznikiem firewalli czy wykorzystywanie serwerów blade do uruchamiania wielu wirtualnych zapór sieciowych. To może zwiększyć popyt na tego rodzaju zabezpieczenia i korporacje liczą, że spadną ceny licencji na wykorzystanie w wirtualnym środowisku. Poza tym technologie zapór sieciowych nie spełniają wymagań związanych z zapewnieniem bezpieczeństwa wirtualizacji. Tylko kilka firm ma certyfikaty VMware (Astaro, Stonesoft, Check Point), a tylko jedna firma (Altor Networks) oferuje firewall, który kontroluje migracje wykonywane przez VMotion.
Firewalle następnej generacji
Zachodzące zmiany – rosnąca przepustowość, nowe zagrożenia i nowe sposoby komunikacji, jak Web 2.0 – wpływają na sposób wykorzystania protokołów sieciowych i prezentacji danych. Dlatego klientom przestały wystarczać klasyczne firewall wymuszające korzystanie z dozwolonych protokołów na standardowych portach. Jeśli producenci nie wprowadzą nowych funkcjonalności do zapór sieciowych, klienci będą żądać znacznych obniżek cen.
Według Gartnera nowej generacji firewalle, spełniające wymagania korporacji, powinny zawierać poniższe funkcjonalności:
- Zintegrowany IPS do inspekcji pakietów. Zapory sieciowe i systemy wykrywania włamań to uzupełniające się produkty i można jest zintegrować. Często te urządzenia są zarządzane przez te same osoby.
- Identyfikacja aplikacji. Zwiększa się liczba aplikacji korzystających z tych samych protokołów i portów. Dlatego ocena ruchu tylko na podstawie tych dwóch kryteriów już nie wystarcza. Funkcje identyfikacji mogą wykrywać łamanie reguł bezpieczeństwa, np. używanie narzędzi zdalnego dostępu czy P2P.
- Dodatkowa inteligencja. Firewalle zostaną wyposażone w funkcje znane z innych rozwiązań bezpieczeństwa, np. będą filtrować adresy URL i blokować komunikację w przypadku wykrycia podejrzanych adresów.
- Zarządzanie regułami firewalla. Obok producentów samych urządzeń wyrósł rynek narzędzi do lepszego zarządzania firewallami, które znajdowały zastosowanie głównie w firmach korzystających z firewalli różnych producentów. Narzędzia do zarządzania dostarczane wraz z firewallami z reguły nie obsługują urządzeń konkurencji lub brakuje im innych potrzebnych funkcji.
