Unified threat management
Unified threat management (UTM-система, UTM-решение, UTM-устройство, шлюз безопасности) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. [1] UTM — модификация обыкновенного файервола, продукт «все включено» [2] , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус. [3] [4] [5]
Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.
Особенности реализации
Для достижения высокой производительности UTM-решения, как правило, используется специализированное аппаратное и программное обеспечение. Архитектура UTM-устройства далее будет рассмотрена на примере решения компании Fortinet, одного из лидеров на рынке подобных устройств. Помимо CPU общего назначения в вычислениях задействованы процессор данных, сетевой сопроцессор и security процессор. За счет таких улучшений UTM-устройство способно работать на скоростях от 1Gbps. [6]
Content processor
Был разработан и оптимизирован для высокоскоростной обработки подозрительных сетевых пакетов и сжатых файлов и сравнения их с уже известными образцами угроз, содержащихся в памяти. Обрабатываемый трафик поступает от CPU общего назначения, а не прямо из сети. Данное ядро ускоряет вычисления, выполняемые на уровне приложений, то есть логически относящиеся к антивирусу, службе предотвращения вторжений (IPS) и т.д.
Network processor
Оптимизирован под задачи высокоскоростной обработки сетевых потоков. Снижает нагрузку на остальные компоненты системы. Занимается обработкой TCP-сегментов, трансляцией сетевых адресов и некоторыми задачами шифрования. Пересобирает фрагментированные пакеты, предупреждая способ обхода служб безопасности, когда угроза оказывается в разных фрагментированных пакетах.
Security processor
Ускоряет выполнение задач антивируса, службы предотвращения вторжений и предотвращения потери данных. Разгружает центральный процессор, принимая от него вычислительно сложные задачи.
Программные компоненты[7]
Firewall
Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.
IPSEC VPN
Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.
URL Filtering
Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.
Antivirus & Anti-Malware
Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.
Anti-Spam & Email Security
Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.
Acceleration and Clustering
Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.
Web Security
Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.
Предпосылки к появлению
Необходимость в UTM-решениях возникла на почве растущего числа хакерских атак на корпоративные информационные системы с помощью взлома, вирусов, червей. Новые виды атак нацелены на пользователей как на самое слабое звено в предприятии.
Сейчас существует множество средств для взлома систем, имеющих слабую защиту. Таким образом, безопасность данных и несанкционированный доступ своих же сотрудников к данным стали основными проблемами, с которыми столкнулись современные компании. Нарушение конфиденциальности данных в конечном итоге может привести к большим финансовым потерям. Компании только недавно начали признавать тот факт, что пренебрежение основами информационной безопасности среди сотрудников способно привести к компрометации не подлежащих разглашению данных, находящихся во внутренней сети предприятия. [8] [9]
Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.
Согласно Frost&Sallivan, рынок UTM-систем в 2008 году вырос на 32.2%, а в 2009 году на 20.1%. [10]
Похожие решения: NGFW
NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такую же функциональность. Первоначально создавалось как попытка объединить фильтрацию по портам и протоколам с функциональностью IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса. [11]
От отдельных решений к комплексным
Исторически появившись первыми, отдельные упомянутые сетевые решения, призванные решать вопросы производительности и защищающие от серьезных угроз, сложны в развертывании, управлении, доработке и обновлении при использовании их в комплексе друг с другом, что увеличивает накладные расходы. Вместо этого сегодня спрос требует наличия интегрированного подхода к сетевой безопасности и производительности, который совмещает ранее разрозненные технологии. UTM позволяет решить сложившуюся проблему. [12]
Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли.
Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.
Достоинства
- Уменьшение количества устройств. Одно устройство, один производитель.[13]
- Сокращение количества разнообразного программного обеспечения, а следовательно и расходов на его поддержку.
- Простое управление. Расширяемая архитектура, веб-интерфейс для управления настройками.
- Более быстрое обучение, необходимое для работы с одним устройством.
Недостатки
- UTM является единой точкой отказа. Тем не менее, вероятность отказа такого устройства невелика.[13]
- Возможно влияние на время отклика и пропускную способность сети, если UTM-устройство не поддерживает максимально возможную в сети скорость передачи траффика.
Примечания
- About Unified Threat Management (недоступная ссылка). Yahoo Finance (11 февраля 2016). Архивировано 4 марта 2016 года.
- UTM devices . TechTarget (16 декабря 2013).
- Обзор корпоративных UTM-решений на российском рынке . Anti-Malvare (16 декабря 2013).
- IDC. September 2007. Unified Threat Management Appliances and Identity-based Security: The Next Level in Network Security. IDC Go-to Market Services.
- World Unified Threat Management (UTM) Products Market . Frost&Sullivan.
- Accelerating_UTM_Specialized_Hardware .
- Устройства Check Point UTM-1 .
- Через сотрудников утекает секретная информация компаний . Business Consulting Group (BCG).
- Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с
- Expansion into Enterprise Segment Vital for Sustained Growth in the World Unified Threat Management (UTM) Products Market . Frost&Sallivan.
- UTM vs. NGFW: Unique products or advertising semantics? . TechTarget.com.
- The rise of integrated security appliances . ChannelBusiness. (недоступная ссылка)
- UTM . TechTarget.
Литература
- Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с