מדוע לא מומלץ לקחת קופסאות UTM

מי שעוקב אחר שוק הקופסאות ל-IT בשנים האחרונות, יכול לראות שחברות רבות מוכרות "קופסאות חכמות". אינני מדבר על קופסאות כמו מתגים חכמים או נתבים של סיסקו בהם יש צ'יפ מיוחד עם תוכנה מיוחדת לעשות עבודה מסויימת, אלא קופסאות כמו "מיני פיצה" שעושות מספר דברים: חומת אש, VPN, חיבור DSL, אנטי וירוס, אנטי ספאם וכו'.

בקופסאות כאלו בדרך כלל מה שיש זה בעצם מעבד חלש של אינטל (או AMD), לוח אם פשוט וקטן, דיסק קשיח קטן והפצת לינוקס מקוצצת, שהוסיפו לה כל מיני דברים כדי לתת את אותם שרותים. במקרים רבים מדובר בהפצה מבוססת רד-האט או התואמת לה (CentOS) עם שינויים רבים.

קופסאות אלו נמכרות לאינטגרטורים שרוכשים זאת עבור לקוחותיהם. הלקוח משלם על הקופסא, על תכנון הישום ועל ההטמעה עצמה.

במקור קופסאות אלו התאימו עבור העסקים הקטנים כמו סטארט-אפים (שכבר עבור את שלב קבלת כסף מהמשקיעים), והקופסא בעצם באה לתת פתרון אחיד וכולל לכל העובדים בחברה. במקום להסתבך ולחפש את כל השרותים בנפרד, הספק נותן לך הכל בקופסא אחת, יש ממשק וובי נחמד ונוח (לעיתים, לעיתים זה נראה כאילו מישהו עיצב ממשק כדי לאמלל את האחראי).

היתרון של קופסא זו ליצרנים הוא עצום: ההשקעה עצמה בקופסא הוא מינימלי יחסי וברובו מדובר על הטמעה של מוצרים גדולים בגירסה מוקטנת + שת"פים עם יצרני אנטי-וירוס/אנטי ספאם. הקופסאות לא נמכרות בזו"ל (לדוגמא: קופסת פורטיגייט 110C עם 3 שנות תמיכה עולה לא פחות מ-3000 דולר, וזאת לפני הסכום שצריך לשלם לאינטגרטור על מנת לתכנן וליישם, כלומר יש צורך בתשלום של 4000 דולר בערך, ואחרי 3 שנים יש לשלם תשלום שנתי (גם אם אתה משתמש רק בחומת האש בלבד), או שהקופסא תיהפך לברזל נטו. בקיצור – הם עושים בזה כסף לא רע בכלל.

מילא לסטארט-אפ ממומן, תשלום חד פעמי של 4000 דולר לערך הוא סכום לא בשמיים, אבל האם חברות יותר גדולות צריכות בעצם את הפתרון הזה?

התשובה שלי פשוטה: לא.

בחברות שיש בהן מעל 100 עובדים יש צורך לדוגמא בתוכנת אנטי וירוס ואנטי ספאם רציניות כדי שינטרו את כל התעבורה (בין בתקשורת ובין במיילים), וכיום עם התחרות שיש בין היצרנים, ניתן לקבל דיל לא רע בכלל שיתן תמיכה גם בשרתים (בין אם זה שרת Exchange או שרת דואר מבוסס Linux, לכל יצרני האנטי וירוס יש כיום גם פתרון שרץ על לינוקס) וגם בתחנות הקצה. מחיר הרשיון עצמו – זול בהרבה ממה שתשלם לאנטי וירוס בקופסת UTM.

חומת אש ו-VPN: חברות רוצות חומת אש רצינית ופתרון VPN שיפעל על הכל: החל מהמחשב הנייד היקר של המנכ"ל ועד למק של הגרפיקאי או ה-iPad של הבכירים. כיום בלינוקס יש פתרון גם לחומת האש (אפילו ברמת חסימת אפליקציה, לא רק לפי פורטים TCP/UDP וכו'), וגם VPN שתומך בכל דבר (OpenVPN כמובן). לאלו שחושבים על צריכת חשמל גבוהה אם זה ירוץ על שרת, אפשר לקחת פתרון כמו של VIA שעולה 90$ (צריך להוסיף זכרון, דיסק קשיח וקופסא כלשהי) – ופתרון זה יתן ביצועים מעולים בלי לעשות חור בכיס מבחינת צריכת חשמל.

אבל החסכון הכי גדול הוא לא רק בקניה, אלא גם בהטמעה וברשיונות: אפשר לשכור פרילאנסר ולתת לו את התכנון של הרשת, מה ישאר פתוח ומה לא, וגם אם אותו פרילאנסר יגבה 300 שקלים לשעה, הוא יכול תוך 5 שעות להרים חומת אש רצינית לתפארת + חיבורי VPN. מכיוון שמדובר בקוד פתוח, אין צורך לשלם על רשיונות. בנוסף, אפשר לסכם עם אותו פרילנסר על תמיכה שנתית או תחזוקה שנתית תמורת כמה מאות שקלים נוספים (נניח בהתחברות מרחוק לעדכונים), ואם אינכם מרוצים מהפרילאנסר, לא חסרים בארץ (וגם בחו"ל) פרילאנסרים נוספים שיחליפו אותו תמורת מחיר שתקבעו עם הנ"ל.

לסיכום: ניתן לחסוך כספים רבים (ולהימנע מ"אי נעימויות", קראו מה קרה לי עם לקוח, אינטגרטור שנעלם וצ'ק פוינט בעבר) תוך הסתמכות על פתרונות מבוססים קוד פתוח מבלי להיות "נעולים" על פתרון שצריך לשלם עליו כל שנה, ובלי להיות "נעולים" על אינטגרטורים מסויימים שמחליטים לשים ברז.

Comments

comments

8 תגובות בנושא “מדוע לא מומלץ לקחת קופסאות UTM

  1. לא שאני רוצה לסנגר על מישהו, אבל אני חושב שהתשובה היא קצת יותר מורכבת מדרך ההצגה שלך כאן.

    ברור, שניתן ליישם פתרונות Open source בארגון, אבל אני לא בטוח שבסופו של דבר זה יצא יותר זול לארגון, בכל זאת, מוצר שנמכר בחברה וכרת כמו צ'קפוינט למשל, הוא הרבה יותר בשל, והרבה יותר מתועד מאשר מוצר open source, ולכן סביר שמבחינת זמן הטמעה, זה יעלה הרבה פחות.

    לגבי AntiVirus, גם אם לא תשלם חידוש רישוי והמוצר לא יתעדכן, עדיין ה Firewall module יעבוד.

    • דווקא אני די בטוח שכן יוצא יותר זול. דיברת על צ'ק פוינט? בבקשה. תסתכל בלינק כאן: http://goo.gl/ov3rC – זה 3026 דולר בחו"ל על ה-UTM הכי בסיסי שיש כיום לצ'ק פוינט, זה כמובן לא כולל שום דבר: לא מע"מ, לא עבודה של אינטגרטור ולא רשיון ליותר משנה. בשליש מהמחיר הזה אתה תמצא אינטגרטור שישמח לעשות לך את אותה עבודה ואל תשכח שפתרון שמבוסס על ציוד סטנדרטי (מעבד,לוח אם, זכרון) זול מאוד להרחבה (כך שגם אם מחר יהיה לך ג'יגהביט של אינטרנט, זה יעמוד בכבוד).
      לעומת זאת, עם קופסא של צ'ק פוינט אתה פשוט "כלוא", ואני מסכים מאוד עם מה שמנחם כתב.

  2. יניב,

    לא אישי,אבל,מה שאתה מתאר זוהי בדיוק תפיסת העולם של איש ה IT המאוד ישראלי. צ'קפוינט זה טוב וזול וכדאי כי מודברבשם שהוא מותג.כנ"ל מיקרוסופט,בתחומם,וכנ"ל סיסקו,בתחומם והרשימה ארוכה. מה לעשות שנכון זה לא ומתאים לכל אירגון וגם יש הרבה מאוד חלופות שזול יותר לעשות בתפירה אישית על בסיס קוד פתוח ולא לרוץ לקנות מוצר שמעיד על הקונה – ועליו בלבד.

    לפעמים הזול יקר והיקר זול. על זה בדיוק מדבר המאמר של חץ. לא לכל ארגון נכון לבנות את חומת האש שלו והאנטי וירוס שלו על בסיס קוד פתוח כשם שלא לכל אירגון זה נכון וכדאי לרכוש מותג רק כי הוא מותג. צריך פתיחות,צריך שיקול דעת ולהתאים צרכים ליכולת הכספית ולמטרות.

    וצריך ראש פתוח שחושב על מגוון האפשרויות ולא מסנן בין מותגים כי הם מותגים ויש מה לספר לחברה.

    חלק מהדוגמאות שחץ מביא במאמר שלו מוכרות לי היטב והתוצאות גם כן. חברות משלמות הון תועפות על מותגים,כי זה טוב, ובסופו של יום הרשת היא לא מה שהייתה פעם. הביצועים עלובים,החופש לא קיים והספק נהנה מהכנסות שרצוי ובכלל לא היו נוצרות כל זה כי קנו מותג ולא חשבו רוחבית על כל האפשרויות כולל אלה שאינן ממותגות ואינן סקסיות כפי שתיאר חץ במאמר שלו.

    אם תבדוק מעבר לים תגלה שתופעת המותגים קיימת אבל בעצימות יותר נמוכה וארגונים קטנים ובינוניים כן חושבים על מגוון מאוד רחב של אפשרויות ויישומים על בסיס קוד פתוח ותפירה אישית. זה כן זול יותר וכן יעיל יותר מבחינה עסקית.

    התחלתי המילים לא אישי – והאמירה שלי איננה אישית בכלל. מה שאתה אומר אני נתקל בו כל שני וחמישי ולא פעם מבקשים ממני לחזור ולהציע כי הסתבכו קשות עם הקבלן של המותג. חלק מזה,גם, נובע משיטת החפיף ויהיה בסדר שאותה אפשר להפעיל כשמדובר ביישום ממותג אבל לא כשרוצים לחשוב להגדיר ולמצוא פתרונות מהמרחב ומהמגוון הגדול מאוד שעולם הקוד הפתוח מציע.

    מנחם.

  3. חזרנו לשאלת השאלות… וסיבת הסיבות..
    נניח שאתה צריך "ליישם" תמונה… אז אתה יכול להביא מישהו שיקדח לך חור…וייתלה את התמונה…
    או לקחת חוט נחושת ללפף על עוגן… את זה לחבר למקדוח…ואז להביא מיישם והוא "יישם" את החור לקיר…ואז תוכל לתלות את התמונה והנמשל מובן…
    כשאתה קונה מוצר מוגמר אתה למעשה משלם על הפתרון… שאמור להיות תפור לפי מידותיך… אז הטענה שלך צריכה להיות כפולה הן לאדם שמוציא את הRFI והן לאדם שמנפק בעקבות אותו מסמך את הRFQ…
    אבל בגדול אכן יש לעולם הקוד פתוח פתרונות מעולים וקלים יחסית להבנה… ומי שצריך VPN, FW או אפילו IPS ימצא מוצרים חביבים… מאוד.. וקלים לתפעול…ולמרבה ההפתעה…במחירים שווים לכל נפש…

  4. אני הולך להגיד משהוא שהולך להתקבל בהרבה זלזול – אבל אני כבר רואה את זה צץ מעל השטח.

    אנשים אצלנו לא אוהבים יכולים רוצים לקורא חומר כתוב באנגלית. אם אין מצגת פוארפוינט יפה בעברית, מרצה או מטמיע שמאביס את החומר – אף אחד לא יישב לקרוא תעוד של מערכת באנגלית. גם אם התעוד הוא מושלם.
    אמנם אף אחד לא אומר את זה בפה מלא – אבל כשמישהוא אומר "מי יטמיע לי את זה"? הוא מתכוון מי יקרא את כל ה data sheet באנגלית?

    • וכמו שאמרתי גידי – מי שלא רוצה לקרוא לגבי קוד פתוח, להתעסק בשורות פקודות וסקריפטים, יכול לשלוף את הארנק ולשלם על כך. התשלום על כך יהיה זול בהרבה מאשר לרכוש קופסא.

סגור לתגובות.