Vasiliy Koval - Fotolia

Faire son choix parmi les meilleures appliances UTM du marché

L’expert Ed Tittel se penche sur les meilleurs systèmes de gestion unifiée des menaces du marché, pour aider à choisir celle qui convient le mieux à son entreprise.

Les systèmes de gestion unifiée des menaces (UTM) permettent de réaliser des économies substantielles sur les équipements et de réduire la charge d’administration en combinant plusieurs fonctions de sécurité en une seule appliance.

Cet article vise à aider au choix d’une appliance UTM en examinant les familles de produits de huit des principaux équipementiers du domaine : Barracuda X Series, Check Point NGTP, Cisco Meraki, SonicWall NSA, Fortinet FortiGate, Juniper Networks SRX, Sophos UTM SG et WatchGuard Firebox.

Les appliances UTM partagent un ensemble de fonctionnalités de base, telles que le pare-feu, le réseau privé virtuel (VPN) et le contrôle des applications, et les fournisseurs exigent l'achat d'une licence ou d'un abonnement pour ces modules. Tous les constructeurs proposent des modèles d'entrée de gamme pour les petits bureaux et les sites distants, ainsi que des unités de niveau intermédiaire pour les petites et moyennes entreprises. Plusieurs proposent également des appareils haut de gamme adaptés aux centres de calcul d'entreprise.

Performance : débit et nombre d'utilisateurs

Les spécifications de performance varient considérablement d'un fournisseur à l'autre, et certains fournisseurs proposent de nombreux produits UTM dans une même gamme. Le tableau suivant présent un récapitulatif des débits maximaux affichés pour le pare-feu, le VPN, et la prévention d’intrusion (IPS), ainsi que le nombre d'utilisateurs recommandés. Les modèles et spécifications UTM changent fréquemment, alors considérez les chiffres comme un instantané dans le temps.

En outre, il convient de souligner que les débits maximum annoncés ne reflètent en rien les performances que l’on peut attendre en conditions réelles. Certains constructeurs proposent d’ailleurs des indications de performances dans de telles conditions. Mais les chiffres ne sont encore là qu’indicatifs, et pas forcément établis suivant les mêmes protocoles d’un équipementier à l’autre.

Le nombre de nouvelles sessions par seconde peut également constituer un indicateur des performances, même s’il peut être délicat de le transposer directement à son environnement et au nombre de ses utilisateurs.

Parce que tous les hauts de gamme ne se valent pas

Barracuda et SonicWall s'adressent principalement aux petites et moyennes entreprises (PME). Ainsi, le haut de gamme NSA9650 du second n’offre guère plus, sur le papier, que le modèle 5200 de Check Point. Aucun produit Barracuda ne peut d’ailleurs véritablement être considéré comme haut de gamme pour le moment : sa série X600 se limite à 6 Gbps en débit maximal pour le pare-feu. Cette observation vaut également pour le MX450 de Cisco Meraki, même si le constructeur affirme qu’il peut supporter jusqu'à 10 000 utilisateurs.

En fait, pour trouver des performances au-delà de 20 Gbps, voire au-delà de 40 Gbps, il faut se tourner vers Check Point, Fortinet, Juniper, Sophos ou encore WatchGuard.

Associés aux performances, les produits Barracuda, Check Point, SonicWall, Sophos et WatchGuard sont réputés pour leur facilité de mise en œuvre et d'utilisation, ce qui est particulièrement important dans un environnement PME.

Caractéristiques

Chaque appliance UTM dispose d'un pare-feu, d'un VPN et d'un IPS, et prend en charge le contrôle des applications, le filtrage de contenu, la protection contre les logiciels malveillants et les spams. Le tout étant assorti de capacités d’administration centralisée en mode cloud. La plupart des fournisseurs incluent également le filtrage Web, bien qu'il s'agisse d'une fonctionnalité optionnelle des appliances Barracuda.

Les UTM de Check Point incluent la mise en réseau et la mise en cluster avancées, la reconnaissance d'identité, la gestion des règles de réseau et les fonctionnalités de journalisation et d'état. Le constructeur propose également des fonctionnalités d'extraction de menaces des fichiers entrants, ou encore d’analyse dynamique des contenus suspects en bac à sable, avec Sandblast.

Les appliances Cisco Meraki fournissent des stratégies de sécurité basées sur l'identité, plusieurs liaisons ascendantes WAN et le basculement 4G, mais elles n'incluent pas l'analyse des e-mails ni le décryptage SSL pour HTTP.

Les produits SonicWall NSA examinent tout le trafic, quel que soit le port ou le protocole, contrairement à de nombreux concurrents.

Check Point, Fortinet, Juniper et WatchGuard prennent en charge la protection avancée contre les menaces persistantes (facultative pour WatchGuard). Check Point, Fortinet, Sophos et WatchGuard assurent également la prévention des pertes de données.

Les clients qui ont besoin de rapports de conformité détaillés devraient examiner de près les produits Sophos. Sophos propose iView, une appliance distincte qui rassemble des informations sur plusieurs UTM et fournit des rapports pour répondre aux exigences de conformité.

Tarification, licences ou support d'abonnements

L'un des aspects les plus complexes de la sélection de la meilleure appliance UTM pour son organisation consiste à comprendre les licences de fonctionnalités logicielles (également appelées « abonnements » par certains fournisseurs). Tous les équipementiers présentés ici, à l'exception de Barracuda, associent des licences aux fonctionnalités d’UTM, telles que le contrôle applicatif et l'antivirus, de manière isolée ou par de packages. A charge pour le client de choisir la durée de la licence, qui est généralement d'un ou trois ans, mais peut aller jusqu'à 10 ans dans certains cas.

A noter que les appliances Cisco Meraki s’appuient sur un outil d’administration en mode cloud qui oblige les clients à acheter une licence par équipement. D'autres fournisseurs, tels que Barracuda et Sophos, fournissent gratuitement l’administration centralisée.

Tous les constructeurs proposent des forfaits d'assistance standard similaires, ainsi que la possibilité d'acheter un support premium à un coût supplémentaire.

Choisir le meilleur produit UTM pour soi

Les organisations qui étudient le marché à la recherche d’une solution d’UTM et qui utilisent déjà un équipement de réseau d'un équipementier particulier, devraient s'en tenir au même fournisseur, en supposant qu'elles soient satisfaites de la qualité, de la facilité d'utilisation et du support. La standardisation sur un même constructeur limite les problèmes de compatibilité et réduit la courbe d'apprentissage pour les administrateurs. Les PME qui recherchent un changement peuvent considérer Barracuda, SonicWall, Sophos et WatchGuard. Pour les entreprises de plus grande taille, Check Point, Fortinet, Sophos et WatchGuard se démarquent de la concurrence.

 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)