Abbiamo provato per voi la suite GravityZone disponibile sia nel cloud sia on premises e già pronta per MSP e rivenditori che vogliono uno strumento completo e potente per tenere sotto controllo il parco macchine dei loro clienti.
Il numero di attacchi informatici è in continua crescita e l’obiettivo nella maggior parte dei casi sono professionisti e aziende. Anche lo scopo di questi attacchi è cambiato: non solo recare un danno ma perpetrare una truffa, chiedere riscatti, rubare informazioni, password e denaro. In uno scenario simile l’antivirus è sempre più importante anche se viene spesso dato per scontato.
In un ambiente aziendale o per un consulente, un sistemista o un MSP il vero valore aggiunto non è però la semplice protezione tramite un qualsiasi engine basato su signature, ma una suite completa che permetta di tenere traccia di tutti i computer client e server protetti, visualizzando immediatamente i pericoli e i problemi.
Bitdefender si è ricavato una eccellente fama grazie soprattutto a un engine antivirus sofisticato, sempre ai primi posti nei test dei laboratori più prestigiosi. Il suo engine viene venduto anche a moltissime terze parti che lo usano e rivendono con brand differenti.
La suite GravityZone di Bitdefender è però a nostro parere ancora poco conosciuta, nonostante sia sul mercato da tempo e vanti moltissime funzionalità avanzate in grado di soddisfare sia le realtà più piccole, sia quelle Enterprise. L'abbiamo dunque provata – poco dopo l’ultimo restyling terminato il mese scorso – per capirne le principali funzionalità e valutarne il comportamento.
Tre prodotti in uno
La prima distinzione che è importante fare riguarda naturalmente il licensing e i differenti pacchetti che si presentano col “cappello” GravityZone. Due di questi si rivolgono espressamente al mercato SMB, anche se non presentano limiti significativi verso l’alto. Si tratta dei prodotti Business Security e Advanced Business Security. Il terzo è invece Enterprise Security e si rivolge – come è facile indovinare – esclusivamente al mercato enterprise.
| BitDefender GravityZone | Business Security | Advanced Business Security | Enterprise Security |
| Workstation fisiche | sì | sì | sì |
| Server fisici | sì | sì | sì |
| Desktop virtuali | sì | sì | sì |
| Server virtuali | sì | sì | sì |
| Relay server per definizioni antivirus | sì | sì | sì |
| Firewall su endpoint (solo Windows) | sì | sì | sì |
| Advanced Threat Control | sì | sì | sì |
| Device control su endpoint | sì | sì | sì |
| Microsoft Exchange | no | sì | sì |
| Device mobili | no | sì | sì |
| Licensing per datacenter/host | no | no | sì |
| Smart Central Scan | no | sì | sì |
| Browse hypervisor | no | no | sì |
| vShield agentless protection (fino vSphere 5.5) | no | sì | sì |
| Opzione console | Cloud o On premises | Cloud o On premises | On premises |
| Licenza | 1 per cliente | 1 per cliente | 1 per tipo di device |
| Percentuale massima di server | 30% | 35% | - |
Business Security e Advanced Security differiscono per alcune funzionalità specifiche: solo la versione Advanced permette di proteggere anche Exchange e i device mobili e di utilizzare le funzionalità di Smart Central Scanning, di cui vi parleremo più avanti. Per il resto le due soluzioni sono equivalenti e si basano solo sul numero di dispositivi, al di là che “l’oggetto” da proteggere sia una workstation fisica, un server fisico o un desktop o un server virtuale. Bitdefender impone però una piccola regola per evitare che la sua soluzione venga adottata esclusivamente per la protezione di server: il numero di client in rapporto a quello dei server deve essere (in termine di numero di licenze) almeno pari al 70% nel caso della Business Security e almeno pari al 65% nel caso della Advanced Business Security. Questi limiti percentuali non vengono invece applicati nella soluzione Enterprise. La nota positiva è il numero di licenze minimo, pari a soli 3 dispositivi (5 per la Enterprise), con sconti che partono già dalle 15 unità per cliente e che crescono al crescere della durata della licenza (12, 24 o 36 mesi).
Le soluzioni Business Security e Advanced Security possono essere gestite sia tramite la console cloud (che naturalmente prevede anche il ruolo dei Partner che appartengono al canale e la gestione multi-azienda), sia on premises (entro le mura) tramite la console fornita sotto forma di appliance virtuale. La versione Enterprise invece richiede necessariamente una implementazione on premises, ma d’altro canto offre anche come opzione un modello di licensing per Datacenter e per singolo host virtuale (al di là del numero di macchine virtuali in uso). Una esclusiva della versione Enterprise è anche la possibilità di acquistare differenti licenze con prezzi (leggermente) diversi per ogni dispositivo, ad esempio per una workstation fisica, per un desktop virtuale (VDI), per un terminale mobile e così via.
Pacchetti personalizzati per il deployment
Come la maggior parte delle soluzioni gestite anche GravityZone permette di creare un installer dedicato per il deployment sui server, i client e così via. Il package può essere creato dalla interfaccia cloud o da quella on premises che sono sostanzialmente identiche. In fase di preparazione del pacchetto si possono abilitare le funzioni prescelte. L’unica predefinita e non rimovibile è Antimalware. Le opzioni prevedono Advanced Threat Control, Firewall, Content Control, Device Control, Power User, Relay e Exchange Protection. Il pacchetto creato si adatta poi in base al dispositivo su cui viene installato: ad esempio la funzione di Exchange Protection verrà installata soltanto se la macchina ha Exchange a bordo.
Le modalità di scansioni possibili sono 4, di base è impostata quella automatica che prevede l’uso della scansione locale sulle macchine recenti mentre per le macchine virtuali o le macchine fisiche più obsolete viene configurata il sistema Central Scan con fallback verso la Hybrid scan. L’uso della funzionalità di Central Scan che demanda al Security Server le attività di scansione richiede naturalmente la presenza di un Security Server entro le mura: viene distribuito sotto forma di macchina virtuale nel formato Ova. L’Hybrid Scan invece alleggerisce un pochino la scansione usando in parte le risorse fornite dalla console cloud.
Naturalmente nella creazione del pacchetto di installazione si può forzare una delle modalità di scansione disponibili, ottimizzando l’installazione in base alla situazione. Tra le opzioni attivabili sempre in questa fase segnaliamo la scansione prima dell’installazione, l’impostazione di una password per la rimozione del software, l’uso di percorsi di installazione personalizzati e la connessione alla console cloud o a un Relay Server locale.
Il Relay Server in Gravity Zone è una qualsiasi macchina Windows (server o client) che svolge la funzione di repository delle definizioni per le altre macchine. Per attivarlo non servono software ad hoc ma è sufficiente creare un pacchetto di installazione con la spunta sulla voce Relay. Tale macchina dovrà poi essere localizzata dai client usando ad esempio un indirizzo IP fisso sulla rete.
Il supporto a livello di Endpoint naturalmente va ben oltre Windows: son supportati i Mac dalla versione 10.7.x (Lion) in avanti, tutti i sistemi Microsoft desktop da XP SP3 a 10 TH2, le versioni Embedded e Tablet di Windows da XP in avanti, i sistemi Windows Server da 2003 a 2012R2. Per quanto riguarda Linux invece sono supportati i sistemi Red Hat e Centos dalla versione 5.6, Ubuntu dalla 10.04, SUSE Linux Enterprise Server e OpenSUSE dalla 11, Fedora dalla 15 e Debian dalla 15. Il supporto alla scansione in Linux viene fatto tramite il modulo kernel DazukoFS sui sistemi più obsoleti e tramite l’opzione fanotify kernel su quelli più recenti. Le versioni di Exchange supportate per il modulo integrato vanno invece dalla 2007 alla 2016.
Le Policy, ovvero come prendere il controllo
Un elemento fondamentale per definire il comportamento degli host in Bitdefender GravityZone sono le policy che possono essere applicate a tutti i computer di una azienda o ad una parte di essi. Nelle policy si trovano tutte le opzioni che normalmente si trovano sul singolo antivirus: l’utente finale non dovrà preoccuparsene ma tutta la gestione avviene dalla console cloud o on premises.
Ogni modulo è disponibile all’interno della policy e può essere configurato nei minimi dettagli. Ad esempio la protezione Antimalware può essere configurata in modalità aggressiva, normale, permissiva o Custom. Si può attivare la tecnologia Advanced Threat Control che analizza i comportamenti sospetti delle applicazioni e protegge da questo tipo di attacchi e si può decidere ad esempio se eliminare le minacce o semplicemente bloccarle.
Sempre tramite le policy si possono pianificare le scansioni programmate (quick o full) definendo la frequenza e l’intervallo di ripetizione e si possono definire le opzioni della quarantena e le eventuali esclusioni di programmi che sono stati riconosciuti come falsi positivi. Nelle policy si possono definire anche i Security Server interni alla rete.
I moduli della suite
La suite GravityZone annovera diversi moduli che permettono una protezione più o meno avanzata. Alcuni, come la protezione di Exchange, richiedono una licenza dedicata, mentre altri (come Firewall, Content e Device Control, Relay) sono disponibili per tutti gli endpoint: sarà l’amministratore del sistema a decidere se implementarli.
Il modulo Firewall può essere configurato per l’installazione nella creazione del pacchetto e nelle sue funzioni a partire dalla policy. Include funzionalità di Intrusion Detection (IDS) e blocca attivamente le scansioni di porte che avvenissero dalla rete. Può anche monitorare direttamente le reti Wifi per garantire una migliore protezione e si possono definire le reti fidate, ad esempio inserendo il Mac address del gateway della rete aziendale. Se necessario si possono poi definire delle regole per aprire porte o applicazioni non già conosciute su tutti i dispositivi dell’organizzazione.
Il modulo Content Control permette come è facile immaginare di bloccare i contenuti ritenuti inappropriati all’interno dell’azienda. Oltre naturalmente a bloccare il phishing ed eventualmente a controllare il traffico che viaggia su SSL, GravityZone permette di scegliere le categorie di siti da filtrare e gli orari in cui attivare tali limiti (qualora sia necessario). All’interno del modulo ci sono anche funzioni di Data protection che permettono di definire alcune regole per evitare che vengano trafugati via email o tramite qualche modulo Web dei dati riservati. Si possono anche controllare le applicazioni, vietando ad esempio i software che permettono di scaricare contenuti pirata.
Una interessante novità dell’ultima release di GravityZone è la funzione di controllo dei device. Permette di migliorare la sicurezza dei terminali dove ci sono dati che non devono uscire dall’azienda: bloccando ad esempio le unità di storage esterne (come chiavette e dischi Usb) e le reti senza fili si possono ridurre sensibilmente i rischi.
Situazione sotto controllo
GravityZone include una comoda dashboard personalizzabile che permette di visualizzare immediatamente i problemi di tutta la azienda o di tutte le aziende gestite da un partner. La console cloud permette naturalmente di definire anche un amministratore per ogni azienda gestita dal partner, dando così – dove sia necessario – anche visibilità all’IT aziendale della situazione. In aggiunta a questa dashboard c’è una sezione dedicata direttamente alla creazione di report: si possono definire chiaramente le attività da visualizzare (ad esempio i siti Web bloccati, le applicazioni fermate dal firewall, i malware più rilevati) e si può visualizzare tale report nella console o inviarlo via email con cadenza periodica (giornaliera, settimanale, mensile).
Interessante notare l’integrazione della suite tramite API con prodotti di terze parti: dalla console l’unico prodotto già disponibile in tal senso è ConnectWise, ma chi volesse integrarlo con Cms aziendali o altri strumenti può farlo direttamente.
La gestione delle piattaforme virtuali
GravityZone supporta anche la connessione diretta a piattaforme virtuali, con un livello di supporto particolarmente esteso che comprende naturalmente vSphere dalla versione 4.1 in avanti, ma anche VMware View, Citrix XenServer, XenDesktop, VDI-in-a-Box, Microsoft Hyper-V, Red Hat Enterprise Virtualization (KVM incluso) e persino Oracle VM 3.0.
La suite supporta anche la tecnologia VMware vShield disponibile fino alla release 5.5 di vSphere ma poi abbandonata dalla stessa VMware. Questa tecnologia permette di fare la scansione delle macchine virtuali in modalità Agentless, cioè senza alcun software installato all’interno delle VM, sfruttando i VMware Tools. Per le versioni più recenti di vSphere bisogna naturalmente sfruttare l’agent di Bitdefender.
Solo nella versione Enterprise la console dedicata da installare on premises permette anche di sfogliare il contenuto degli hypervisor e attivare la protezione sulle singole macchine. Tutte le versioni di Gravity Zone invece permettono di fare il deployment di un Security Server entro le mura per alleggerire le attività di scansione dei singoli endpoint. Il Security Server è una virtual machine con Ubuntu Server 12.04 LTS che può essere facilmente installata su VMware vSphere, View, Workstation, Player, Citrix XenServer, XenDesktop e VDI-in-a-Box, Microsoft Hyper-V, Red Hat Enterprise Virtualization 3.0 e Oracle VM 3.0. Fino a una cinquantina di VM da proteggere richiede solo 2 Gbyte di Ram e 2 vCPU, mentre al salire del numero di VM potrebbe arrivare a richiedere fino a 4 Gbyte e 6 vCPU. In caso di installazioni con numerosi host Bitdefender raccomanda il deployment di un Security Server per ogni host fisico.
Protezione Mobile
La versione Business Security di GravityZone non permette la gestione dei terminali mobili, mentre sia la Advanced Business Security sia la Enterprise Security lo permettono. Purtroppo però anche nel caso della Advanced Business Security se si devono amministrare dispositivi mobili è necessario implementare la console entro le mura e non si può lavorare con la console nel cloud. Bisogna anzi rispettare precisi requisiti che comprendono la configurazione del ruolo di Communication Server alla appliance e una porta di rete dedicata a questo ruolo. Il supporto è limitato alle piattaforme Android (dalla versione 2.2) e iOS (dalla versione 5.1). Naturalmente la protezione è attivata in modo completo su Android che permette di attivare le funzionalità di un vero antivirus, mentre su iOS GravityZone si limita a gestire in modo centralizzato l’applicazione delle policy MDM previste dalla stessa Apple e a bloccare o ritrovare i dispositivi persi o rubati.
Conclusioni
La suite GravityZone di Bitdefender si è comportata molto bene nelle nostre prove, garantendo il completo controllo sui terminali protetti. È di facile installazione e gestione e basta perdere qualche ora nel pannello di gestione delle policy per comprenderne tutte le funzionalità, anche quelle più avanzate. Il meccanismo di deployment è semplice e anche la gestione dei Relay è comoda e semplice da implementare per le reti che soffrono di connettività limitata o in cui il numero di client è molto elevato. La compatibilità a livello di Endpoint è poi praticamente totale, grazie alla copertura di tutte le versioni di Windows, Windows Server, Mac e Linux attualmente in uso e a un eccellente supporto di tutti i principali Hypervisor.
L’interfaccia di gestione è ben congegnata e richiede poco tempo per comprenderne i meccanismi di funzionamento. L’integrazione con i Partner e la gestione delle aziende è semplice e immediata. Anche le funzionalità di distribuzione del software sono flessibili e – grazie anche al meccanismo di invio tramite email – rendono la vita semplice agli amministratori di rete che devono gestire molte installazioni in poco tempo.
La parte forse più complessa è la comprensione dei differenti meccanismi di licensing: molte delle piccole e medie imprese italiane potranno però accontentarsi delle versioni Business Security e Advance Business Security con console nel cloud per proteggere tutti i propri client. In questo caso la gestione delle licenze è più semplice e comprensibile. La soluzione Enterprise aggiunge complessità, ma si rivolge giustamente ad aziende dove l’IT non è demandato a terze parti e un IT manager preparato può affrontare il problema con tutta la competenza necessaria.
Una nota positiva va infine al prezzo: nonostante l’enorme numero di funzionalità incluse GravityZone può essere implementata anche in strutture piccolissime con tre soli endpoint e il costo è davvero contenuto, vicino quasi a quello di molti prodotti consumer. Per 3 sole postazioni su un periodo di 3 anni ad esempio il prezzo all’anno a postazione della Business Security è inferiore ai 23 euro (Iva esclusa, listino all'utente finale). Questo naturalmente scende al crescere del numero delle licenze acquistate. Non ci sono più scuse per non passare a una soluzione managed!
Bitdefender in Italia è distribuita da Avangate.