Edellisen blogini palomuurit kuolevat 2030 palaute synnytti tarpeen avata lähihistoriaa Next Generation Firewall (NGFW) torjuntateknologian ja palveluiden kehityksestä yritysmarkkinassa. Tarinassa on monta opetusta niin liiketoiminnan johtamisen, hiljaisen signaalin tunnistamisen, kuin teknologian elinkaaren ymmärtämiseen. Uskon monen tunnistavan itsensä ja yrityksensä vuosien varrelta niin asiakkaana, toimittaja kuin kollegana. NGFW syntymä ja kuolema on samalla tarina disruptiosta ja yrittäjyydestä Missä sinä olit NGFW markkinan syntyhetkellä?
Palomuurimarkkina 90-luvun lopussa
Yritysten palomuurimarkkinaa hallitsi 90-luvun lopussa Cisco Systems™ PIX ja CheckPoint™ Firewall-1. Vuosikymmenen alussa kehitetty statefull firewall oli vallannut markkinan kilpailevalta Application Firewall teknologialta. Pidättäytymällä TCP/IP-protokollan käsittelyssä, saatiin prosessointitehon vaatimusta pienemmäksi ja tuote edullisemmaksi. Hinta ja ylläpidon helppous voittivat tietoturvan.
Markkinassa oli ongelma, mutta ei ratkaisua.
Yritysverkoissa oli 2000-luvun alussa merkittävä ongelma. Internet-verkon räjähdysmäinen kasvu toi mukanaan haittaohjelmat. Statefull Firewall ei kyennyt vastaamaan haasteeseen toimiessaan TCP/IP-protokollan tasolla. Samanaikaisesti PC-virustorjunnan teknologia ja päivitykset eivät pysynyneet haittaohjelmien mutaatioiden perässä. Haittaohjelman poistaminen manuaalisesti tuli tutuksi monelle IT-yksikölle. Osalle jopa vuosineljänneksittäin.
Peter Danzig and John Schuster vuonna 2000 kehittämä ICAP-protokolla mahdollisti liikenteen ohjaamisen erilliselle virustorjuntapalvelimelle. ICAP oli kuitenkin heikosti tuettu palomuureissa. Harva yritys halusi vaikeaa integraatiota palomuuriin peläten käyttökatkoja. Se ei myöskään sopinut silloiselle yrityksellemme (Forte Netservices Oy) strategiana, koska markkinaosuutemme palomuureissa oli olematon. Lisäksi ICAP-teknologia keskittyi lähinnä http-protokollan tarkistamiseen jättäen suuren aukon torjuntaan.
Markkinassa oli ongelma, mutta ei ratkaisua.
Markkinoiden ensimmäinen AntiVirus Gateway
Olin nähnyt postimerkin kokoisen mainoksen Ositis AVstripper gateway-tuotteesta (lupauksesta) alan kansainvälisessä lehdessä. Aloitimme Willie Ositiksen kanssa yhteistyön vuonna 2001 ja toimme markkinoille Forte AntiVirus Gateway-palvelun. Kyseessä oli plug and play (L2 bridge) haittaohjelmapesuri, joka sijoitettiin palomuurin eteen tai taakse. Virusmoottorina oli TrendMicro™, joskin tarjonta laajennettiin nopeasti Sophos™ ja McAfee™: lle.
Gateway poisti haittaohjelmat TCP/IP liikennevirrasta ja rauhoitti yritysverkkojen tilannetta merkittävästi. Erään suomalaisen yrityksen verkko oli niin saastunut, että totesimme pesurin suojaavan enemmän Internet-verkkoa ja muita yrityksiä.
Latvialainen Willy Ositis myi yrityksensä BlueCoat Systems (Symantec/Broadcom) vuonna 2003. Tästä tuotteesta muodostui legendaarinen BlueCoat ProxyAV™. Ratkaisu oli myöhemmin laajasti käytössä myös Suomalaisissa suuryrityksissä.
UTM tulee markkinaan
Forten eVPN™ oli menestynyt hyvin etätyön ja toimipisteiden verkottamisessa hyödyntämällä Internet-buumia. Nykyisin siitä käytetään nimeä SD-WAN. Forte Antivirus Gateway oli toiminut kohtuullisen hyvin ja palvelu oli yksinkertaisuudessaan hyvin kannattava. Forten palomuuripalvelu oli olematon ja palomuurimarkkina tiukasti kilpailtu, joskin valittu NetScreen™ (Juniper) teknologiana toimi hyvin. Kasvusta huolimatta meillä oli ongelma, joka heijastui kaikkialle yrityksen toiminnassa. Laitteita ratkaisussa oli liikaa ja kokonaisuutena se oli kallis.
Vuonna 2000 perustettu Fortinet™ oli avain tähän ongelmaan. Ensimmäinen FortiGate Network Protection Gateway™ julkistettiin vuonna 2002. Se integroi Statefull Firewall, VPN, virus- ja roskapostisuodatuksen, URL-suodattimen sekä Intrusion detection & prevention toiminnot. Jo seuraavana vuonna vaihdoimme kaikki NetScreen™ palomuurimme FortiGate™ palomuureiksi.
Yrityksemme Forte Managed Security Services -konsepti oli siitä eteenpäin kaupallisesti menestys. Ratkaisu oli stabiili, nopea ja kokonaisuus kilpailijoita paljon edullisempi. Mikään muu palomuuri markkinassa ei sisältänyt yhteen laitteeseen integroitua tietoturvaratkaisua.
Kahdeksan vuoden jälkeen palvelussa oli lähes 1000 UTM/NGFW laitetta yli 50 maassa. Vuonna 2009 ja 2010 saimme työstämme tunnustuksena ”Best European Managed Security Service Provider”.
IDC™ ja Gartner™ taistelu
Tutkimusyhtiö IDC™ lanseerasi termin Unified Threat Management (UTM) vuonna 2004 seuraavalla määritelmällä: UTM system is a multifunctional gateway providing all-in-one protection against network threats. Fortinet siirtyi käyttämään UTM-määrittelyä.
Kilpaileva tutkimusyhtiö Gartner™ ei luonnollisesti voinut hyväksyä määritelmää. He synnyttivät samana vuonna käsitteen ”Next Generation Firewall (NGFW)”. Käytännössä kyse ei ollut aivan samasta asiasta, koska Gartner™ määritelmä ei sisältänyt vaatimusta haittaohjelmien torjunnasta. Se lienee kaupallinen päätös, joka tuki Gartnerin suuria asiakkaita hankalassa tilanteessa. Fortinet™ ei hetkeen mahtunut Gartner™ Magic Quadrant listalle tai edes samaan kaupunkiin.
Ensimmäinen todellinen kilpailija Fortigate™ja FortiGuard™-konsptille syntyi vasta vuonna 2007, kun Palo Alto Networks™ toi markkinoille oman NGFW-tuotteensa. Samassa yhteydessä Gartner™ päivitti NGFW määrittelyn, joskaan se ei edelleenkään sisältänyt vaatimusta haittaohjelmistojen suodattamiselle. Maailmanmarkkinassa käytiin kiivasta väittelyä IDC ja Gartner termeistä sekä tuotteiden paremmuudesta. Fakta kuitenkin oli, että haittojen torjunnassa Fortinet oli ylivoimainen vielä vuosia eteenpäin. Ajan kuluessa ja teknologisten erojen tasoittuessa myös Fortinet siirtyi käyttämään Next Generation Firewall termiä.
Toimintaympäristö muuttuu vääjäämättä
Salattua liikennettä
Kun aloitimme, Internet-liikenteestä hyvin pieni osa oli salattua. Torjuntatekniikkana liikenteen ”peseminen” oli mahdollinen. Nykyisin yli 95 % Internet- ja yritysverkko-liikenteestä on salattua. Salatun liikenteen sisällön tutkiminen edellyttää salauksen purkamista. Palomuurit kykenevät purkamaan SSL/TLS-salauksen, mutta se on vain yksi monesta protokollasta. Harva NGFW konfiguraatio sisältää toimintoa. Tekoälyn (AI, machine learnig) yms. menetelmien markkinointi ei muuta faktaa liikennevirran suodatuksen vaikuttavuuden hiipumisesta.
Hintakilpailu tietoturvan kustannuksella
UTM aikakauden alussa käytimme kalliita (tehokkaita) laitteita. Sen avulla pystyimme lupaamaan ja lunastamaan. Käytimme ns. Proxy-Inspection moodia, joka ”sandbox on wire” tekniikka. Kilpailun kiristyessä markkina päätyi hinta/suorituskykykilpailuun. Se pakotti myös Fortinet tuomaan markkinoille kevyemmän vaihtoehdon, eli Flow Inspection moodin. Suoritusarvot saadaan paremmiksi tietoturvan kustannuksella. Hinta ja ylläpidon helppous voittivat tietoturvan jälleen kerran.
Tarjonta ja kilpailu
Nyt 2023 samassa markkinassa kilpailee lukuisat toimijat. NGFW teknologiassa ei ole suuria eroavaisuuksia toimittajien kesken ja markkinassa on vaihtoehtona NaaS pilviteknologia. Vaihtoehtoja ja tarjontaa on paljon enemmän kuin 10 tai 20 vuotta sitten. Paikallisessa markkinassa tarjonta on kuitenkin kovin identtinen ja homogeeninen. Se muistuttaa 90-luvun lopun tilannetta.
Mitä liiketoiminta voi oppia matkasta
Pystytkö luomaan oman tilasi markkinassa?
Asiakasyrityksen haasteen ja tarpeen tunnistaminen edellytti satoja asiakastapaamisia. Ongelma ei ollut statefull palomuuria hallinnoivalla tiimillä, vaan työasema- ja palvelintiimillä. Markkinoilla ei ollut tarjolla teknologiaa tai palveluita pysäyttää haittaohjelmia. UTM ja myöhemmin NGFW ei ollut kyse palomuurista, vaan sen läpi sallitun liikenteen turvallisuuden varmistamisesta.
Asiakastarpeen tunnistamisen jälkeen oli etsittävä uusi teknologia ja yritys, joka oli valmis kehittämään omaa teknologiaa ja vastaamaan markkinassa tunnistettuun tarpeeseen. Sen lisäksi oma toiminta oli viritettävä uuden ratkaisun ja palvelun ketterään kehittämiseen. Teimme paljon vaatimusmäärittelyjä ja testaamista Ositiksen ja Fortinetin alkutaipaleella FortiGuard-palvelun kehittämiseksi. Nekin olivat startup-yrityksiä.
Toimintaympäristön disruptio
Samanaikaisesti Internet (Web) kasvun ja EU sisämarkkinan muodostumisen myötä emme jumittuneet Suomen (valmistaja/tukkuri/jälleenmyyjä) kanavarakenteeseen ja sen rajoitettuun tarjontaan. Hankimme parempaa teknologiaa rohkeasti maailmalta vielä tuntemattomilta yhtiöiltä. Kilpailu tuli kontrollin ulkopuolelta.
2000-luvun alussa palveluna ostamisen malli ei ollut erityisen yleinen ICT-alalla operaattoreita lukuun ottamatta. Suuri osa yrityksistä teki IT-hankinnat investointina ja brändillä oli suuri merkitys. Palvelukonsepti ja tuotteistus piilotti brändin. Kilpaileva tarjoaja joutui brändiin nojaamisen sijasta vertaamaan palvelun sisältöä ja ominaisuuksia. Tuntemattomilla teknologioilla tuskin olisimme onnistuneet brändi-kilpailussa. Kilpailuasetelma ja pelisäännöt oli muutettava. Lopulta markkinan muutos palvelumyönteiseksi helpotti asetelmaa.
Olimme varmasti murheenkryyni Suomen jähmettyneessä palomuurimarkkinassa, kuten Ciscon paikallinen henkilökunta totesi.
Miksi asiakkaan tarpeeseen ei vastata?
Vuonna 2011 yhtiömme myytiin osaksi teleoperaattoria. Ostajalla ei ollut palveluvalikoimassaan NGFW- tai UTM-teknologiaan perustuvia palveluita. Kilpailevilla operaattoreilla oli hetkeä aikaisemmin aloitettu Palo Alto yhteistyö. Tässä kohtaa olimme tuottaneet UTM/NGFW palveluita kahdeksan vuotta. Asiakkaina olivat mm Suomen top 100 yrityksistä 23 % (poissulkien IT- ja Teleoperaattorit). Lähes kaikki asiakkaamme olivat myös näiden operaattoreiden asiakkaita. Kovin ketterää ei muutos vakiintuneessa markkinassa ollut. Minulle nousee monta kysymystä jälkikäteen:
- Miksi vakiintuneet toimijat eivät kyenneet vastaamaan asiakkaan tarpeeseen?
- Miksi he eivät kyenneet muuttamaan tuotteistustaan?
- Miksi he vuonna 2023 uskovat pystyvänsä muuttumaan ajoissa?
Onko NGFW palomuurilla tulevaisuutta?
Yritysten siirtyessä omista konesaleista ja palveluista SaaS-, PaaS- ja IaaS-markkinaan sekä sovelluskehityksen hajautuessa Azure™, AWS™ ja Google™ alustoille palomuurien merkitys hiipuu vääjäämättä. Blogi Palomuurit kuolevat 2030 käsittelee tätä aihetta. NGFW syntymä ja kuolema taustoittaa tätä.
Hannu Rokka, Senior Advisor
5Feet Networks Oy