Guida alla scelta dell'appliance Sophos UTM 9.3 - Appliance Serie SG
Come individuare il giusto modello di appliance in tre semplici step Questo documento fornisce utili linee guida per aiutarvi a scegliere la giusta appliance Sophos Serie SG per i vostri clienti. La scelta della giusta appliance deve essere effettuata in base a una serie di fattori diversi e implica lo sviluppo di un profilo di utilizzo per utenti e ambiente di rete. Per risultati ottimali, si consiglia di applicare la seguente procedura step-by-step: 1. Individuare il numero Totale utenti UTM Conoscere l'ambiente IT del cliente - ad es. attività di navigazione, uso delle applicazioni, infrastruttura di rete e server - per capire l'utilizzo effettivo previsto per l'appliance UTM durante le ore di punta. 2. Calcolare una stima iniziale In base al numero Totale utenti UTM. 3. Verificare i requisiti specifici in termini di throughput Capire se possano essere presenti fattori locali che rischiano di incidere sulla performance, come ad es. una capacità massima di uplink verso internet da paragonare ai valori relativi al throughput di Sophos UTM, modificando l'opzione consigliata in funzione di tali fattori. Ovviamente il modo migliore per scoprire se un'appliance possa soddisfare le esigenze del cliente è metterla alla prova nell'ambiente di destinazione; le appliance Sophos Serie SG vi danno la possibilità di offrire il modello selezionato in prova gratuita on-site. 1. Individuare il numero Totale utenti UTM La seguente tabella aiuta a calcolare prima di tutto il numero totale di utenti UTM che verranno gestiti dall'appliance. a. Calcolare il numero corrispondente al Conteggio ponderato utenti Identificare la categoria utente (Medio/Avanzato/Power user) che meglio rifletta il comportamento medio degli utenti; in alternativa fornire una stima del numero di utenti per ciascuna categoria. Utilizzare i criteri indicati nella tabella 1.2 per classificare il tipo di utenti. Inserire i Conteggi utenti nella tabella 1.1, moltiplicarli per il fattore indicato, immettere i risultati nelle caselle "Conteggio ponderato utenti" e sommarli nella casella "Totale utenti UTM". b. Individuare il numero Carico di sistema Utilizzare i criteri indicati nella tabella 1.3 per classificare il carico. Inserire il numero Carico di sistema nella casella "moltiplicato per Carico di sistema" nella tabella 1.1, moltiplicarlo per il "Totale conteggio ponderato utenti" e inserire il risultato nella casella "Totale utenti UTM". Tabella 1.1 Conteggio utenti Moltiplicato per Conteggio ponderato utenti Utenti standard 1 Utenti avanzati 1.2 Power User 1.5 Totale conteggio utenti Totale conteggio ponderato utenti moltiplicato per Carico di sistema Totale utenti UTM
1.2 Criteri per la Categoria utente Utilizzare i criteri indicati qui di seguito per classificare il tipo di utenti. Utente medio Utente avanzato (*1,2) Power user (*1.5) Traffico di e-mail (per giornata lavorativa di 10h) Numero di e-mail ricevute nella inbox < 50 da 50 a 100 >100 Volume dati Pochi MByte Vari MByte Diversi MByte Uso del Web (per giornata lavorativa di 10h) Volume dati Pochi MByte Vari MByte Diversi MByte Pattern d'uso Distribuito in maniera omogenea durante la giornata Vari picchi Diversi picchi Applicazioni Web utilizzate Per la maggior parte webmail / Google / news Navigazione intensiva, trasferimento di media moderato, applicazioni aziendali Navigazione e trasferimento di media intensivi (scuole, università) Uso di VPN Uso di VPN per l'accesso remoto Raramente connessioni sporadiche Diverse volte alla settimana connessioni a orari regolari Tutti i giorni connessioni attive per la maggior parte del tempo 1.3 Criteri per il Carico di sistema Individuare eventuali requisiti specifici che possano incrementare il carico di sistema totale e di conseguenza anche i requisiti di sistema in termini di performance. Uso di sistema medio Uso di sistema avanzato (*1,2) Uso di sistema elevato (*1,5) Autenticazione Active Directory No Sì Sì Uso di FW/IPS/VPN IPS deve proteggere sistemi di vario genere Non viene richiesta protezione IPS Per lo più PC Windows, 1-2 server E-mail Percentuale di spam <50% 50-90% >90% Reporting Tempo di archiviazione dei report e livello di dettaglio richiesto Tempo di archiviazione dei dati di accounting sull'appliance Fino a 1 mese Solo report Web (per dominio) Fino a 3 mesi Fino a 5 report (per dominio) Sistemi operativi client, browser e app multimediali di vario genere, >2 server >3 mesi (per URL) No Fino a 1 mese >1 mese
2. Calcolare una prima stima - utilizzando il numero Totale utenti UTM derivato Adoperare il Totale utenti UTM per compilare una prima stima dell'appliance hardware Serie SG richiesta, secondo il seguente diagramma: Ciascuna riga indica il numero di utenti consigliato quando si utilizza solamente la singola subscription in questione. Verificare che i numeri includano tutti gli utenti connessi tramite VPN, RED e Access points (AP) wireless. Profilo di subscription FW/Email Protection Network Protection Web Protection FW/Email + Network + Web All UTM Modules Total UTM Users 10 25 35 50 100 250 500 1,000 2,500 5,000 Regola empirica: Nella stima, aggiungendo Wireless Protection, Webserver Protection o Endpoint Protection a qualsiasi profilo di subscription sopraindicato, il numero di utenti diminuirà del 5-10% per ciascuna soluzione. 3. Verificare i requisiti di throughput specifici A seconda dell'ambiente del cliente, potrebbero essere presenti requisiti di throughput specifici che influiscono sulla prima stima effettuata, che di conseguenza va modificata optando per un'unità a capacità più elevata (o addirittura minore). Tali requisiti si basano principalmente sui seguenti due fattori: La capacità massima di uplink verso internet La capacità della connessione Internet (per uplink e downlink) del cliente deve corrispondere al tasso medio di throughput che l'unità selezionata è in grado di inoltrare (a seconda delle subscription utilizzate). Ad esempio, con un limite di download o upload di soli 20 Mbps, optare per un'appliance invece di una non comporterebbe vantaggi di rilievo, anche se il numero totale di utenti calcolato si aggirasse intorno a 100. In tale evenienza, potrebbe bastare un'appliance, in quanto svolgerebbe tutte le funzioni legate ai link internet, anche con tutte le funzionalità UTM attivate. Tuttavia, è possibile che i dati vengano filtrati non solo prima di essere inviati tramite internet, ma anche quando devono attraversare segmenti di rete interni. Per questa stima considerare quindi anche il traffico interno filtrato dal firewall. Requisiti specifici di performance, in base all'esperienza o alle conoscenze del cliente Se il cliente è a conoscenza dei requisiti di throughput di tutte le interfacce interne ed esterne connesse (ad es. per esperienza, in base a situazioni passate), verificare che l'unità selezionata sia in grado di soddisfare i requisiti derivanti dalle cifre indicate. Ad esempio, è possibile che il cliente abbia diversi server situati all'interno di una DMZ, e che desideri reindirizzare il traffico di tutti i segmenti di rete su tali server, per consentirne l'ispezione da parte dell'ips. Oppure può accadere che il cliente abbia diversi segmenti di rete da proteggere l'uno dall'altro (utilizzando il packet filter del FW e/o la funzionalità Application Control). In tale eventualità, l'unità dovrà effettuare la scansione completa del traffico interno fra i vari segmenti.
Ulteriori domande da porre per individuare altri eventuali requisiti di performance: Qual è la quantità di tunnel VPN site-to-site richiesta? Quante e-mail vengono trasferite all'ora - in media/nelle ore di punta? Quanto traffico Web (Mbps e richieste/sec) viene generato - in media/nelle ore di punta? Quanti sono i Web server da proteggere e qual è il volume di traffico previsto - in media/nelle ore di punta? Il seguente paragrafo fornisce valori di performance specifici, per aiutarvi a stabilire se l'appliance selezionata sia in grado di soddisfare tutti i singoli requisiti. Valori di performance per l'hardware Sophos Serie SG La seguente tabella fornisce i valori di performance per tipo di traffico, calcolati nei laboratori di test Sophos. I valori reali rappresentano il throughput ottenibile con un traffico misto tipico/realistico, i valori massimi (max) rappresentano il miglior tasso di throughput ottenibile in condizioni ottimali, ad es. utilizzando pacchetti di grandi dimensioni. Si noti che nessuno di questi valori viene garantito, in quanto la performance effettiva può variare nelle situazioni reali dei clienti, in funzione di: caratteristiche degli utenti, uso delle applicazioni, configurazioni di sicurezza e altri fattori. Per informazioni dettagliate, consultare il documento Sophos UTM - Metodi di test per la performance. Small - Desktop /w /w /w /w Valori di performance Firewall - max 1 (Mbps) 1.500 2.300 3.100 6.000 Firewall - reali 2 (Mbps) 1.140 1.630 2.100 3.650 ATP - reali 2 (Mbps) 1.060 1.470 1.490 2.680 IPS - max 1 (Mbps) 350 500 750 1.500 IPS - tutte le regole (Mbps) 175 200 320 590 FW + ATP + IPS - max 1 (Mbps) 310 450 680 1.340 FW + ATP + IPS - reali 2 (Mbps) 160 190 310 445 Controllo App - reali 2 (Mbps) 1.020 1.430 1.790 3.000 VPN AES - max 3 (Mbps) 325 425 500 1.000 VPN AES - reali 4 (Mbps) 175 220 295 490 Proxy Web - semplici 5 (Mbps) 215 380 475 850 Proxy Web AV 5 (Mbps) 90 120 200 350 Richieste Web/sec 5 AV 360 500 900 1.650 Numero massimo di connessioni consigliato Nuove connessioni TCP/secondo 15.000 20.000 24.000 36.000 Connessioni TCP in simultanea 1.000.000 1.000.000 2.000.000 2.000.000 Tunnel VPN IPsec in simultanea 80 145 175 250 Tunnel VPN SSL in simultanea 35 55 75 120 Endpoint simultanei 10 20 30 40 Access Point simultanei 10 20 30 40 RED simultanei (UTM/FW) 10/30 15/60 20/80 25/100 1. Dimensioni del pacchetto: 1518 byte (UDP), set di regole di default 2. NSS perimetro misto (TCP/UCP) 3. AES-NI con AES GCM ove possibile (UDP) 4. NSS core misto (TCP/UCP) 5. Throughput: File da 100kByte, richieste/sec: File da 1Kbyte (i valori indicati corrispondono a una scansione singola, il throughput cala del 15-20% a doppia scansione attivata) 6. Limite tecnico
Medium - 1U Valori di performance Firewall - max 1 (Mbps) 11.000 13.000 17.000 20.000 25.000 27.000 Firewall - reali 2 (Mbps) 5.970 7.140 8.265 9.760 11.450 12.750 ATP - reali 2 (Mbps) 4.415 5.390 7.123 8.550 11.310 12.180 IPS - max 1 (Mbps) 2.000 3.000 5.000 6.000 7.000 8.000 IPS - tutte le regole (Mbps) 630 910 1.390 1.420 1.650 1.970 FW + ATP + IPS - max 1 (Mbps) 1.910 2.850 4.790 5.890 6.650 7.570 FW + ATP + IPS - reali 2 (Mbps) 590 780 980 1.110 1.340 1.690 Controllo App - reali 2 (Mbps) 3.658 4.820 6.730 8.570 11.350 12.230 VPN AES - max 3 (Mbps) 1.000 2.000 3.000 4.000 4.000 5.000 VPN AES - reali 4 (Mbps) 510 920 1.350 1.900 2.250 2.700 Proxy Web - semplici 5 (Mbps) 1.350 1.650 2.100 2.950 3.510 4.100 Proxy Web AV 5 (Mbps) 500 800 1.200 1.500 2.000 2.500 Richieste Web/sec 5 AV 2.100 2.300 3.100 4.200 5.400 6.500 Numero massimo di connessioni consigliato Nuove connessioni TCP/secondo 60.000 70.000 100.000 120.000 130.000 140.000 Connessioni TCP in simultanea 4.000.000 4.000.000 6.000.000 6.000.000 8.000.000 8.000.000 Tunnel VPN IPsec in simultanea 350 500 800 1.200 1.600 2.000 Tunnel VPN SSL in simultanea 180 200 230 250 280 300 Endpoint simultanei 75 150 300 500 750 1.000 Access Point simultanei 75 100 125 150 222 6 222 6 RED simultanei (UTM/FW) 30/125 40/150 50/200 60/230 70/250 80/300 Large - 2U Valori di performance Firewall - max 1 (Mbps) 40.000 60.000 Firewall - reali 2 (Mbps) 14.070 18.950 ATP - reali 2 (Mbps) 13.230 17.845 IPS - max 1 (Mbps) 12.000 16.000 IPS - tutte le regole (Mbps) 3.895 6.235 FW + ATP + IPS - max 1 (Mbps) 11.980 14.600 FW + ATP + IPS - reali 2 (Mbps) 3.280 5.880 Controllo App - reali 2 (Mbps) 13.350 13.620 VPN AES - max 3 (Mbps) 8.000 10.000 VPN AES - reali 4 (Mbps) 3.880 5.120 Proxy Web - semplici 5 (Mbps) 4.700 6.800 Proxy Web AV 5 (Mbps) 3.500 5.000 Richieste Web/sec 5 AV 15.000 23.500 Numero massimo di connessioni consigliato Nuove connessioni TCP/secondo 160.000 190.000 Connessioni TCP in simultanea 12.000.000 20.000.000 Tunnel VPN IPsec in simultanea 2.200 2.800 Tunnel VPN SSL in simultanea 340 420 Endpoint simultanei 1.000 6 1.000 6 Access Point simultanei 300 400 RED simultanei (UTM/FW) 100/400 150/600 1. Dimensioni del pacchetto: 1518 byte (UDP), set di regole di default 2. NSS perimetro misto (TCP/UCP) 3. AES-NI con AES GCM ove possibile (UDP) 4. NSS core misto (TCP/UCP) 5. Throughput: File da 100kByte, richieste/sec: File da 1Kbyte (i valori indicati corrispondono a una scansione singola, il throughput cala del 15-20% a doppia scansione attivata) 6. Limite tecnico
Appliance Sophos UTM software/virtuali Per selezionare una configurazione di sistema tipica durante l'installazione di software Sophos UTM su PC/server compatibili con Intel, Sophos consiglia di individuare prima un'appliance hardware Sophos Serie SG che soddisfi le varie esigenze (in base alle linee guida sopraindicate), per poi optare per la configurazione hardware più opportuna presente nella seguente tabella. /w /w /w /w CPU Baytrail (1.46 GHz) Baytrail (1.75 GHz) Rangeley (1.7 GHz) Rangeley Quad Core (2.4 GHz) Celeron (2.70GHz) Pentium (3.20GHz) Dual Core i3 (3.50GHz) Quad Core i5 (2.9GHz) Quad Core Xeon E3- (3.20GHz) Quad Core Xeon E3- (3.50GHz) 2* 6 Core Xeon E5- (2.6 GHz) 2* 10 Core Xeon E5- (2.8 GHz) Memoria (GB) 2 4 4 6 8 8 12 12 16 16 24 48 Se si utilizza Sophos UTM in un ambiente virtuale, si prevede una diminuzione della performance pari a circa il 10%, per via del framework Hypervisor. Come stabilire il numero di utenti Cosa si intende per utente nelle licenze software? Il termine utente, quando utilizzato nelle licenze software Sophos, indica: workstation, client, server e tutti i dispositivi che dispongono di un indirizzo IP protetto o che ricevono servizi dal gateway Sophos. Quando l' utente comunica con o tramite gateway, il relativo indirizzo IP viene aggiunto all'elenco dei dispositivi con licenza nel database locale del gateway. Non comporta alcuna differenza se l' utente comunica via Internet o con un dispositivo presente in un altro segmento di LAN. Vengono prese in considerazione anche le query DNS o DHCP inviate al gateway. Se più utenti comunicano attraverso un solo dispositivo e quindi un solo indirizzo IP (es. mail-server o web-proxy), ogni utente viene calcolato come utente separato. Il meccanismo di licenza utilizza solo i dati pervenuti entro gli ultimi sette giorni. Se un indirizzo IP non è stato utilizzato negli ultimi sette giorni, viene rimosso dal database. Prove gratuite on-site Sebbene rappresenti una buona base per la scelta del modello più adeguato, la procedura descritta è fondata esclusivamente sulle informazioni fornite dal cliente. Vi sono diversi fattori che determinano il comportamento e la performance di un'appliance, molti dei quali possono essere valutati solamente in situazioni reali. Per questo motivo, una prova gratuita on-site all'interno dell'ambiente IT del cliente è sempre il modo migliore per stabilire se l'appliance selezionata sia veramente in grado di soddisfare le esigenze di performance del cliente. Per ulteriore assistenza, il personale dei team di prevendita Sophos è a vostra disposizione per aiutarvi a calcolare e selezionare la giusta piattaforma. Vendite per Italia: Tel: (+39) 02 911 808 E-mail: sales@sophos.it Oxford, Regno Unito Boston, USA Copyright 2015. Sophos Ltd. Tutti i diritti riservati. Registrato in Inghilterra e Galles, n. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Regno Unito Sophos è un marchio registrato da Sophos Ltd. Tutti gli altri nomi di società e prodotti qui menzionati sono marchi o marchi registrati dei rispettivi titolari. 03.15.GH-RP.sgit.simple