Unified threat management (Unified threat management)

Unified threat management (UTM-система, UTM-решение, UTM-устройство, шлюз безопасности) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. ^[1] UTM — модификация обыкновенного файервола, продукт «все включено» ^[2] , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус. ^[3] ^[4] ^[5]

Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.

Особенности реализации

Для достижения высокой производительности UTM-решения, как правило, используется специализированное аппаратное и программное обеспечение. Архитектура UTM-устройства далее будет рассмотрена на примере решения компании Fortinet, одного из лидеров на рынке подобных устройств. Помимо CPU общего назначения в вычислениях задействованы процессор данных, сетевой сопроцессор и security процессор. За счет таких улучшений UTM-устройство способно работать на скоростях от 1Gbps. ^[6]

Content processor

Был разработан и оптимизирован для высокоскоростной обработки подозрительных сетевых пакетов и сжатых файлов и сравнения их с уже известными образцами угроз, содержащихся в памяти. Обрабатываемый трафик поступает от CPU общего назначения, а не прямо из сети. Данное ядро ускоряет вычисления, выполняемые на уровне приложений, то есть логически относящиеся к антивирусу, службе предотвращения вторжений (IPS) и т.д.

Network processor

Оптимизирован под задачи высокоскоростной обработки сетевых потоков. Снижает нагрузку на остальные компоненты системы. Занимается обработкой TCP-сегментов, трансляцией сетевых адресов и некоторыми задачами шифрования. Пересобирает фрагментированные пакеты, предупреждая способ обхода служб безопасности, когда угроза оказывается в разных фрагментированных пакетах.

Security processor

Ускоряет выполнение задач антивируса, службы предотвращения вторжений и предотвращения потери данных. Разгружает центральный процессор, принимая от него вычислительно сложные задачи.

Программные компоненты^[7]

Firewall

Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.

IPSEC VPN

Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.

URL Filtering

Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.

Antivirus & Anti-Malware

Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.

Anti-Spam & Email Security

Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.

Acceleration and Clustering

Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.

Web Security

Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.

Предпосылки к появлению

Необходимость в UTM-решениях возникла на почве растущего числа хакерских атак на корпоративные информационные системы с помощью взлома, вирусов, червей. Новые виды атак нацелены на пользователей как на самое слабое звено в предприятии.

Сейчас существует множество средств для взлома систем, имеющих слабую защиту. Таким образом, безопасность данных и несанкционированный доступ своих же сотрудников к данным стали основными проблемами, с которыми столкнулись современные компании. Нарушение конфиденциальности данных в конечном итоге может привести к большим финансовым потерям. Компании только недавно начали признавать тот факт, что пренебрежение основами информационной безопасности среди сотрудников способно привести к компрометации не подлежащих разглашению данных, находящихся во внутренней сети предприятия. ^[8] ^[9]

Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.

Согласно Frost&Sallivan, рынок UTM-систем в 2008 году вырос на 32.2%, а в 2009 году на 20.1%. ^[10]

Похожие решения: NGFW

NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такую же функциональность. Первоначально создавалось как попытка объединить фильтрацию по портам и протоколам с функциональностью IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса. ^[11]

От отдельных решений к комплексным

Исторически появившись первыми, отдельные упомянутые сетевые решения, призванные решать вопросы производительности и защищающие от серьезных угроз, сложны в развертывании, управлении, доработке и обновлении при использовании их в комплексе друг с другом, что увеличивает накладные расходы. Вместо этого сегодня спрос требует наличия интегрированного подхода к сетевой безопасности и производительности, который совмещает ранее разрозненные технологии. UTM позволяет решить сложившуюся проблему. ^[12]

Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли.

Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.

Достоинства

Уменьшение количества устройств. Одно устройство, один производитель.^[13]
Сокращение количества разнообразного программного обеспечения, а следовательно и расходов на его поддержку.
Простое управление. Расширяемая архитектура, веб-интерфейс для управления настройками.
Более быстрое обучение, необходимое для работы с одним устройством.

Недостатки

UTM является единой точкой отказа. Тем не менее, вероятность отказа такого устройства невелика.^[13]
Возможно влияние на время отклика и пропускную способность сети, если UTM-устройство не поддерживает максимально возможную в сети скорость передачи траффика.

Примечания

↑ About Unified Threat Management (неопр.). Yahoo Finance (11 февраля 2016). Архивировано из оригинала 4 марта 2016 года.
↑ UTM devices (неопр.). TechTarget (16 декабря 2013). Дата обращения: 20 февраля 2016. Архивировано 4 марта 2016 года.
↑ Обзор корпоративных UTM-решений на российском рынке (неопр.). Anti-Malvare (16 декабря 2013). Дата обращения: 17 февраля 2016. Архивировано 2 марта 2016 года.
↑ IDC. September 2007. Unified Threat Management Appliances and Identity-based Security: The Next Level in Network Security. IDC Go-to Market Services.
↑ World Unified Threat Management (UTM) Products Market (неопр.). Frost&Sullivan.
↑ Accelerating_UTM_Specialized_Hardware (неопр.). Дата обращения: 24 февраля 2016. Архивировано 6 августа 2015 года.
↑ Устройства Check Point UTM-1 (неопр.). Дата обращения: 1 марта 2016. Архивировано 11 января 2016 года.
↑ Через сотрудников утекает секретная информация компаний (неопр.). Business Consulting Group (BCG).
↑ Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с
↑ Expansion into Enterprise Segment Vital for Sustained Growth in the World Unified Threat Management (UTM) Products Market (неопр.). Frost&Sallivan. Дата обращения: 20 февраля 2016. Архивировано 22 февраля 2016 года.
↑ UTM vs. NGFW: Unique products or advertising semantics? (неопр.) TechTarget.com. Дата обращения: 1 марта 2016. Архивировано 7 марта 2016 года.
↑ The rise of integrated security appliances (неопр.). ChannelBusiness. (недоступная ссылка)
↑ ¹ ² UTM (неопр.). TechTarget. Дата обращения: 20 февраля 2016. Архивировано 27 февраля 2016 года.

Литература

Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с

См. также

[yahooref-1] About Unified Threat Management (неопр.). Yahoo Finance (11 февраля 2016). Архивировано из оригинала 4 марта 2016 года.

[2] UTM devices (неопр.). TechTarget (16 декабря 2013). Дата обращения: 20 февраля 2016. Архивировано 4 марта 2016 года.

[3] Обзор корпоративных UTM-решений на российском рынке (неопр.). Anti-Malvare (16 декабря 2013). Дата обращения: 17 февраля 2016. Архивировано 2 марта 2016 года.

[IDC-4] IDC. September 2007. Unified Threat Management Appliances and Identity-based Security: The Next Level in Network Security. IDC Go-to Market Services.

[5] World Unified Threat Management (UTM) Products Market (неопр.). Frost&Sullivan.

[6] Accelerating_UTM_Specialized_Hardware (неопр.). Дата обращения: 24 февраля 2016. Архивировано 6 августа 2015 года.

[7] Устройства Check Point UTM-1 (неопр.). Дата обращения: 1 марта 2016. Архивировано 11 января 2016 года.

[8] Через сотрудников утекает секретная информация компаний (неопр.). Business Consulting Group (BCG).

[9] Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с

[10] Expansion into Enterprise Segment Vital for Sustained Growth in the World Unified Threat Management (UTM) Products Market (неопр.). Frost&Sallivan. Дата обращения: 20 февраля 2016. Архивировано 22 февраля 2016 года.

[11] UTM vs. NGFW: Unique products or advertising semantics? (неопр.) TechTarget.com. Дата обращения: 1 марта 2016. Архивировано 7 марта 2016 года.

[12] The rise of integrated security appliances (неопр.). ChannelBusiness. (недоступная ссылка)

[autogenerated1-13] ¹ ² UTM (неопр.). TechTarget. Дата обращения: 20 февраля 2016. Архивировано 27 февраля 2016 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]