מדוע לא מומלץ לקחת קופסאות UTM

מי שעוקב אחר שוק הקופסאות ל-IT בשנים האחרונות, יכול לראות שחברות רבות מוכרות "קופסאות חכמות". אינני מדבר על קופסאות כמו מתגים חכמים או נתבים של סיסקו בהם יש צ'יפ מיוחד עם תוכנה מיוחדת לעשות עבודה מסויימת, אלא קופסאות כמו "מיני פיצה" שעושות מספר דברים: חומת אש, VPN, חיבור DSL, אנטי וירוס, אנטי ספאם וכו'.

בקופסאות כאלו בדרך כלל מה שיש זה בעצם מעבד חלש של אינטל (או AMD), לוח אם פשוט וקטן, דיסק קשיח קטן והפצת לינוקס מקוצצת, שהוסיפו לה כל מיני דברים כדי לתת את אותם שרותים. במקרים רבים מדובר בהפצה מבוססת רד-האט או התואמת לה (CentOS) עם שינויים רבים.

קופסאות אלו נמכרות לאינטגרטורים שרוכשים זאת עבור לקוחותיהם. הלקוח משלם על הקופסא, על תכנון הישום ועל ההטמעה עצמה.

במקור קופסאות אלו התאימו עבור העסקים הקטנים כמו סטארט-אפים (שכבר עבור את שלב קבלת כסף מהמשקיעים), והקופסא בעצם באה לתת פתרון אחיד וכולל לכל העובדים בחברה. במקום להסתבך ולחפש את כל השרותים בנפרד, הספק נותן לך הכל בקופסא אחת, יש ממשק וובי נחמד ונוח (לעיתים, לעיתים זה נראה כאילו מישהו עיצב ממשק כדי לאמלל את האחראי).

היתרון של קופסא זו ליצרנים הוא עצום: ההשקעה עצמה בקופסא הוא מינימלי יחסי וברובו מדובר על הטמעה של מוצרים גדולים בגירסה מוקטנת + שת"פים עם יצרני אנטי-וירוס/אנטי ספאם. הקופסאות לא נמכרות בזו"ל (לדוגמא: קופסת פורטיגייט 110C עם 3 שנות תמיכה עולה לא פחות מ-3000 דולר, וזאת לפני הסכום שצריך לשלם לאינטגרטור על מנת לתכנן וליישם, כלומר יש צורך בתשלום של 4000 דולר בערך, ואחרי 3 שנים יש לשלם תשלום שנתי (גם אם אתה משתמש רק בחומת האש בלבד), או שהקופסא תיהפך לברזל נטו. בקיצור – הם עושים בזה כסף לא רע בכלל.

מילא לסטארט-אפ ממומן, תשלום חד פעמי של 4000 דולר לערך הוא סכום לא בשמיים, אבל האם חברות יותר גדולות צריכות בעצם את הפתרון הזה?

התשובה שלי פשוטה: לא.

בחברות שיש בהן מעל 100 עובדים יש צורך לדוגמא בתוכנת אנטי וירוס ואנטי ספאם רציניות כדי שינטרו את כל התעבורה (בין בתקשורת ובין במיילים), וכיום עם התחרות שיש בין היצרנים, ניתן לקבל דיל לא רע בכלל שיתן תמיכה גם בשרתים (בין אם זה שרת Exchange או שרת דואר מבוסס Linux, לכל יצרני האנטי וירוס יש כיום גם פתרון שרץ על לינוקס) וגם בתחנות הקצה. מחיר הרשיון עצמו – זול בהרבה ממה שתשלם לאנטי וירוס בקופסת UTM.

חומת אש ו-VPN: חברות רוצות חומת אש רצינית ופתרון VPN שיפעל על הכל: החל מהמחשב הנייד היקר של המנכ"ל ועד למק של הגרפיקאי או ה-iPad של הבכירים. כיום בלינוקס יש פתרון גם לחומת האש (אפילו ברמת חסימת אפליקציה, לא רק לפי פורטים TCP/UDP וכו'), וגם VPN שתומך בכל דבר (OpenVPN כמובן). לאלו שחושבים על צריכת חשמל גבוהה אם זה ירוץ על שרת, אפשר לקחת פתרון כמו של VIA שעולה 90$ (צריך להוסיף זכרון, דיסק קשיח וקופסא כלשהי) – ופתרון זה יתן ביצועים מעולים בלי לעשות חור בכיס מבחינת צריכת חשמל.

אבל החסכון הכי גדול הוא לא רק בקניה, אלא גם בהטמעה וברשיונות: אפשר לשכור פרילאנסר ולתת לו את התכנון של הרשת, מה ישאר פתוח ומה לא, וגם אם אותו פרילאנסר יגבה 300 שקלים לשעה, הוא יכול תוך 5 שעות להרים חומת אש רצינית לתפארת + חיבורי VPN. מכיוון שמדובר בקוד פתוח, אין צורך לשלם על רשיונות. בנוסף, אפשר לסכם עם אותו פרילנסר על תמיכה שנתית או תחזוקה שנתית תמורת כמה מאות שקלים נוספים (נניח בהתחברות מרחוק לעדכונים), ואם אינכם מרוצים מהפרילאנסר, לא חסרים בארץ (וגם בחו"ל) פרילאנסרים נוספים שיחליפו אותו תמורת מחיר שתקבעו עם הנ"ל.

לסיכום: ניתן לחסוך כספים רבים (ולהימנע מ"אי נעימויות", קראו מה קרה לי עם לקוח, אינטגרטור שנעלם וצ'ק פוינט בעבר) תוך הסתמכות על פתרונות מבוססים קוד פתוח מבלי להיות "נעולים" על פתרון שצריך לשלם עליו כל שנה, ובלי להיות "נעולים" על אינטגרטורים מסויימים שמחליטים לשים ברז.