[ml] No size fits all (era: Content Filter trasparente per APN dedicato)

On Wed, Feb 14, 2007 at 02:43:57PM +0100, Federico Lombardo wrote:
> vedi Fortinet, CrossBeam e compagnia cantante, ormai avere un'appliance
> per ogni funzione ? pleonastico amenoch? tu non abbia necessit? di
> disponibilit? del servizio a livello bancario o da infrastruttura critica,

Uhm.
La buzzword ad Infosecurity sembrava fosse UTM.
Tralasciando momentaneamente il fatto che c'erano da tempo apparati
in grado di fornire servizi di "UTM" e che il termine stesso secondo
Wikipedia e` stato coniato nel 2004[1], personalmente preferisco evitare.
Diciamo che parlo dal punto di vista di persona di operations in una
infrastruttura abbastanza grande, ma non credo che se da domani lavorassi
in azienda da 100 persone la penserei diversamente.
Le ragioni sono molteplici, principalmente il fatto che l'insieme
in questo caso non e` mai equivalente alla somma delle parti.

Un device che si trovi a dover fare
- packet filtering
- antivirus smtp
- antivirus http
- IDS/IPS
- controllo della navigazione
posso accettare che per le realta` _veramente piccole_ abbia un costo
minore alla somma tutte queste componenti prese singolarmente.
Ma:
- scala in modo orrendo
	E` praticamente impossibile, a fronte della esigenza
	di processare un numero maggiore di [pacchetti|mail|pagine]
	aumentare la capacita` di una singola funzionalita`.
	Bisogna passare all'appliance di potenza superiore, spesso
	con costi non lineari (e magari per una sola funzionalita`).
- non e` possibile manutenere separatamente le componenti
	Nel momento in cui dovro` aggiornare il motore dell'antivirus
	per la posta, ad esempio, questo andra` ad impattare tutte le
	funzionalita` (in misura maggiore o minore).
	Nell'ipotesi che vada a buon fine e non richieda uno o piu`
	riavvii del [motore|firewall].
	Sperando sempre che il motore di antivirus che utilizza per
	la posta non sia comune con quello che utilizza per le pagine
	web, perche` invece che ritardare o bloccare un solo servizio
	ne starei bloccando un'altro che, poverino, potrebbe continuare
	a funzionare tranquillamente.
- non e` possibile _sostituire_ separatamente le componenti
	un bel giorno decido che [cisco|checkpoint|juniper|netscreen
	trendmicro|fortinet|...] non sono piu` miei amici, e voglio
	cambiare (per mille motivi possibili, inutile che ne parliamo).
	O semplicemente non sono sodisfatto di come operano: sono lenti
	ad aggiornare le firme [antivirus|id/ps], una mia applicazione
	ha problemi con il loro modo di fare packet filtering, chissa`.
	Alcune cose sono sostituibili "facilmente", altre no.
- non e` possibile (per quello che so) segmentare l'utilizzo delle risorse
	Se e` una giornata particolarmente ricca di virus nella posta
	o nelle pagine web, perche` devo impattare anche sulla mia
	capacita` di processare i pacchetti o analizzare il traffico?
	L'antivirus e` un processo CPU intensive, l'ids abbastanza,
	fare da proxy http no.
- non e` "distribuibile"
	Posso volere che il proxy per la navigazione stia in parallelo
	al firewall esterno. O che gli antivirus della posta stiano
	vicini ai server, e solo l'antispam vicino ad Internet: chi l'ha
	detto che le mail con i virus arrivano solo da Internet?
	O potrei voler avere piu` di un firewall. Come fo?

Tutto questo senza contare la donna delle pulizie di turno[2] che stacca
il cavo di alimentazione del Grande Device e mi manda in crisi tutto invece
che di un [antivirus|smtp|proxy] di cui mi posso occupare domattina.

E` un compromesso che a mio modo di vedere si fa per questione meramente
economica, non certo di prestazioni, manutenzione, praticita`, efficacia;
poi magari nel giro di un anno o due mi dovro` ricredere e ne saro` ben
felice.

Scrivo di rado, ma quando lo faccio sono prolisso, eh? :)

---
[1] http://en.wikipedia.org/wiki/Unified_Threat_Management

[2] ok, ok. Non la donna delle pulizie. Ma qualcuno che lo fa prima
	o poi c'e` sicuramente. No, "solo con il badge si entra in
	sala macchine" non e` una risposta valida.

ciao,
-- 
guido . zen@xxxxxxxxxxxxxxx . skype://zenmobile