Škála bezpečnostních IT hrozeb, které dnes mohou podniky ohrožovat, je poměrně široká. Které z nich považujete v reáliích českých malých a středních podniků za nejpalčivější?

Největším problémem je stále narůstající rozdíl mezi rafinovaností útoků a informovaností nejen uživatelů, ale v malých firmách dokonce i správců IT. Posledním trendem v oblasti útoků je bezpochyby zneužívání mobilních zařízení. Jestliže firma přistoupí ke koupi bezpečnostního produktu, pak od něj očekává ochranu před veškerými bezpečnostními hrozbami. Zároveň je důležité, aby používaná řešení měla jasné, jednoduché a srozumitelné uživatelské rozhraní. Mnoho chyb v nastavení bezpečnostních voleb může vznikat z nepozornosti nebo nepřehlednosti uživatelského rozhraní.

Eliminovat hrozby spojené s užíváním mobilních zařízení ve firemní síti je dnes pro mnoho podniků priorita. Jakou ochranu v oblasti mobility nabídne nová verze Kerio Control?

Hlavní novinkou verze 8.0 je implementace protokolu IPsec pro VPN. Zatímco použití IPsec pro VPN tunely míří především na interoperabilitu s ostatními produkty na trhu, použití IPsecu pro připojení klientů má i bezpečnostní hledisko. Internetová komunikace mobilního zařízení je v takovém případě chráněna systémem prevence průniku (IPS), antivirem, webfilterem a dalšími politikami produktu. Zároveň se veškerá komunikace mobilního uživatele může také zaznamenávat do statistik. Další inovací je přepracovaná správa SSL certifikátů, která významnou měrou mění a sjednocuje správu SSL certifikátů používaných pro webová rozhraní a VPN.

S otázkou mobility souvisí také autentizace uživatele při přihlašování na vzdálené servery. Jaké možnosti zde uživatelům nabídnete?

Právě podpora mobilních zařízení je hlavním tématem nové verze. Mimo již zmíněné IPsec VPN bylo upraveno administrační rozhraní produktu tak, aby bylo možné produkt konfigurovat a monitorovat z libovolného tabletu s operačním systémem iOS nebo Android. 

Obr. 1: Úvodní stránka administračního rozhraní. Rozvržení informačních komponent je volitelné, menu je optimalizováno pro ovládání prstem na tabletu.

Ve firmách se dnes také prosazují moderní způsoby komunikace jako voice over IP (VoIP) a videokonference. Jaké možnosti dává v této souvislosti nový Kerio Control v oblasti zajištění kvality služeb (QOS)?

Pomocí Kerio Control lze určitou šířku pásma rezervovat pro definovaný druh provozu, například VoIP. Linku lze samozřejmě plně využít pro ostatní provoz v případě, že VoIP zrovna neprobíhá. Definovaný provoz je možné také omezit na nominální rychlost nebo na procenta kapacity linky. Možností, jak provoz definovat, je celá řada, například podle typu komunikace, služby, uživatele, přenosu velkých objemů dat, nebo lze využít hodnotu DSCP přímo z paketů.

Ve verzi 8.0 přicházíte také s jednou zásadní změnou, a to absencí podpory OS Windows. Proč jste se rozhodli tuto platformu opustit?

Instalace na Windows je u UTM produktu spíše raritou a statistiky ukazují, že s každou další verzí se podíl instalací na Windows zmenšuje. Multiplatformní produkt je náročnější nejen na vývoj, ale také na testování, technickou podporu zákazníků apod. To je na úkor nových funkcí a doby potřebné na vývoj nové verze. Například v případě protokolu IPsec by tak byla doba potřebná na vývoj výrazně delší. Proto jsme se rozhodli dodat produkt pouze na jedné platformě, kterou je Kerio OS, tedy náš vlastní systém založený na linuxovém jádře. VPN klient stále podporuje instalaci na různých operačních systémech včetně Windows, Linux a Mac OS X. 

Obr. 2: Pravidla pro řízení šířky pásma.

Jaké důsledky s sebou nese tato změna v oblasti licencování?

Licencování software appliance je shodné s verzí pro Windows. Přenesení licence jsme se snažili udělat co nejjednodušší. Uživatel aktuální Windows verze může přejít na software appliance tak, že produkt odinstaluje a aktivuje software appliance s původním licenčním číslem. Pokud by si zákazník přál při tomto přechodu přejít rovnou na Kerio Control Box, máme připraveny nabídky pro podobné migrace. Při jakémkoliv přechodu je možno přenést taktéž konfiguraci pomocí průvodů pro export a import konfigurace. Zákazník tak má na výběr, zda bude produkt provozovat jako software appliance na svém hardwaru, jako virtualizované řešení, nebo se rozhodne pro hardware od společnosti Kerio. Výhodou je, že správa všech variant je v 99 procentech totožná, což opět snižuje riziko chyby i náklady na správu. 

Obr. 3: Konfigurace VPN serveru pro připojení mobilních zařízení protokolem IPsec.

Předchozí verze Controlu jste nabízeli také formou hardwarových UTM zařízení, Kerio Control Boxů. Budete s touto strategií pokračovat i u nové verze?

Ano, prodej Kerio Control Boxů pokračuje. Uživatelé starších verzí mohou svůj box upgradovat na verzi 8, pokud mají aktivní software maintenance. V blízké budoucnosti připravujeme změnu hardwaru u menšího modelu. Mimo jiné bude nový model již pasivně chlazený. Pro stávající zákazníky, kteří používají softwarovou verzi produktu Kerio Control, nabízíme výhodný přechod na hardwarové řešení. 

Obr. 4: Souhrnný report statistik je přístupný na webovém rozhraní a je možné ho pravidelně zasílat na zadaný e-mail.

Unifikovaná řešení zabezpečení sítě (UTM), kam spadá i Kerio Control, jsou dnes u malých a středních firem velmi populární. To, co byly dříve oddělené aplikace, dnes zákazník dostane v rámci jednoho softwaru. Jaké jsou podle vás výhody tohoto přístupu a jakou přidanou hodnotu má v segmentu těchto produktů Kerio Control?

Jednoznačným benefitem jsou snížené náklady na instalaci a správu takového řešení. Výhodou Kerio Control je to, že se orientuje výhradně na segment malých a středních firem a poskytuje tudíž kombinaci funkcí a vlastností ušitou malým firmám na míru. Snažíme se produkt navrhovat tak, aby byl jednoduchý na použití a zároveň poskytoval vše, co malá firma potřebuje. Jednotlivé součásti systému jsou pak vzájemně provázány a optimalizovány, čímž předcházíme různým kolizím, které jinak v prostředí s více různými bezpečnostními produkty zákonitě mohou nastávat.

Lukáš Dolníček