16 dic 2012

"Il mercato dei firewall, IPS, antivirus e UTM viene mantenuto in vita artificiosamente dalla ridicola offerta di connettività Internet business proposta dagli ISP italiani"

Qualche sera fa, probabilmente complice la troppa birra, me ne sono uscito con questa affermazione perentoria, peraltro confermata da una serie di esperti del settore (l'ex collega che beveva con me). Mi spiego con altre parole: così a occhio ho la sensazione che vengano venduti un gran numero di apparati informatici "di sicurezza" clamorosamente sovradimensionati rispetto alle necessità reali (e fin qui niente di male), e che questo serva a nascondere il fatto che i dati relativi alla quantità di pacchetti o sessioni processabili non siano proprio, ehm, quelli effettivamente raggiungibili una volta usciti dal laboratorio e installati in produzione.  Tanto per chiarire, credo che ci sia raramente malafede da parte dei vendor di tali tecnologie: è oggettivamente difficile (per non dire impossibile) riassumere le prestazioni di un apparato informatico in un solo numero, che sia un tot di bps o di pps; purtroppo però non è possibile nemmeno pubblicare dei datasheet pieni di "dipende", e per questo a volte si scatena un circolo vizioso di annunci di prestazioni fantasmagoriche che nessuno potrà mai verificare o contestare. Firewall, web application firewall, proxy di ogni tipo, antivirus, antimalware, funzioni spesso conglomerate in un unico apparato inline, che magicamente ispeziona tutto il traffico entrante e uscente, esamina, categorizza, scarta, modifica, prioritizza, accelera, accoda, salva su disco, copia di qua e di là, il tutto magari pure virtualizzabile.
Venendo al nocciolo della questione: in Italia, la comune banda offerta come connettività business a un'azienda che, ad esempio, voglia aprire il proprio sito di e-business, è di 20Mbps bidirezionali, cioè 20 verso Internet e 20 da Internet. L'offerta a 100Mbps è vista come "premium" e i clienti dotati di connettività Gigabit o multi-Gigabit si contano sulle dita di ben poche mani.
Proviamo allora a fare una ricerchina su Google e vedere qualche esempio di offerta che queste aziende ricevono da parte dei principali vendor.
Checkpoint: per gli small&medium business: Safe@Home 1000N, firewall, IPS, VPN gateway, antispam, mail antivirus, url filtering, NAC, 1000 Mbps di throughput firewall.
Palo Alto: firewall, threat prevention, file filtering, vpn, url filtering, QoS, modelli da 100 Mbps, 250 Mbps, 500 Mbps, 1, 2, 4, 10, 20 Gbps.
Fortinet: Fortigate da 200 Mbps a salire con firewall, vpn, traffic shaping, IPS, antivirus/antimalware, web filtering, VoIP, e una pletora di altre funzioni.
Juniper: SSG series, da 160 Mbps in su.
Cisco: ASA 5500 series, da 150 Mbps in su.
Ho cercato per tutti il modello più piccolo; la ricerca ovviamente non è molto accurata perché l'ho fatta al volo, ma credo renda l'idea.
Il problema cui si trova di fronte la piccola azienda è quello di dover scegliere tra soluzioni a basso costo, ad esempio open source, più calzanti alle sue limitate necessità ma magari non dotate di soddisfacenti opzioni di supporto, e l'insistenza dei vendor tradizionali, che ovviamente possono mettere in campo una forza vendite e marketing di tutto rispetto. A questo aggiungiamo l'aspetto psicologico del "sentirsi grandi" per il quale fa un po' "poveracci" comprare il firewall di fascia più bassa, e il sano ma superficiale "nel grosso non mi sbaglio", e voila abbiamo venduto il firewall da 500 Mega o 1 Giga all'azienda con 20 Mega di banda e un serverino HTTP che già stantuffa tutto il giorno senza posa. E' chiaro che in condizioni di stress non sarà il firewall il primo pezzo del mosaico a cedere.
Ciò di cui gli utenti faticano a rendersi conto è che la natura di Internet oggi richiede infrastrutture di ben altri ordini di grandezza. Quando è stata costruita, le tre corsie della tangenziale di Milano sembravano probabilmente sufficienti, mentre oggi garantiscono solo ingorghi a ripetizione; lo stesso vale per la banda Internet e la potenza elaborativa dei server.
La mia sensazione è quindi che oggi i clienti si sentano soddisfatti (da un punto di vista di prestazioni e di investimento economico) delle loro piattaforme UTM semplicemente grazie a questo nanismo infrastrutturale (e anche, non poco, mentale e culturale), e che se questo dovesse scomparire, come auspicabile ma purtroppo poco probabile (a causa di una categoria -gli ISP e le Telco- ancora intenta a spremere ogni possibile introito dalla vendita di banda "stupida" piuttosto che pensare a offrire servizi "intelligenti", e purtroppo anche a causa di aziende che preferiscono accontentarsi di rimanere "piccole e di successo" piuttosto che rischiare e cercare l'espansione) assisteremmo a notevoli sconquassi sia per gli utenti, costretti a tornare coi piedi per terra e dover valutare gli ingenti investimenti richiesti ben più accuratamente di quanto si faccia ora, che per i vendor, per i quali diventerebbe molto più reale la minaccia di veder raggiunti i limiti prestazionali reali dei propri apparati.

Nessun commento: