Unified threat management (Unified threat management)

Перейти к навигации Перейти к поиску

Unified threat management (UTM-система, UTM-решение, UTM-устройство, шлюз безопасности) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. [1] UTM — модификация обыкновенного файервола, продукт «все включено» [2] , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус. [3] [4] [5]

Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.

Особенности реализации

[править | править код]
Архитектура UTM

Для достижения высокой производительности UTM-решения, как правило, используется специализированное аппаратное и программное обеспечение. Архитектура UTM-устройства далее будет рассмотрена на примере решения компании Fortinet, одного из лидеров на рынке подобных устройств. Помимо CPU общего назначения в вычислениях задействованы процессор данных, сетевой сопроцессор и security процессор. За счет таких улучшений UTM-устройство способно работать на скоростях от 1Gbps. [6]

Был разработан и оптимизирован для высокоскоростной обработки подозрительных сетевых пакетов и сжатых файлов и сравнения их с уже известными образцами угроз, содержащихся в памяти. Обрабатываемый трафик поступает от CPU общего назначения, а не прямо из сети. Данное ядро ускоряет вычисления, выполняемые на уровне приложений, то есть логически относящиеся к антивирусу, службе предотвращения вторжений (IPS) и т.д.

Оптимизирован под задачи высокоскоростной обработки сетевых потоков. Снижает нагрузку на остальные компоненты системы. Занимается обработкой TCP-сегментов, трансляцией сетевых адресов и некоторыми задачами шифрования. Пересобирает фрагментированные пакеты, предупреждая способ обхода служб безопасности, когда угроза оказывается в разных фрагментированных пакетах.

Ускоряет выполнение задач антивируса, службы предотвращения вторжений и предотвращения потери данных. Разгружает центральный процессор, принимая от него вычислительно сложные задачи.

Программные компоненты[7]

[править | править код]

Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.

Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.

Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.

Antivirus & Anti-Malware

[править | править код]

Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.

Anti-Spam & Email Security

[править | править код]

Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.

Acceleration and Clustering

[править | править код]

Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.

Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.

Предпосылки к появлению

[править | править код]

Необходимость в UTM-решениях возникла на почве растущего числа хакерских атак на корпоративные информационные системы с помощью взлома, вирусов, червей. Новые виды атак нацелены на пользователей как на самое слабое звено в предприятии.

Сейчас существует множество средств для взлома систем, имеющих слабую защиту. Таким образом, безопасность данных и несанкционированный доступ своих же сотрудников к данным стали основными проблемами, с которыми столкнулись современные компании. Нарушение конфиденциальности данных в конечном итоге может привести к большим финансовым потерям. Компании только недавно начали признавать тот факт, что пренебрежение основами информационной безопасности среди сотрудников способно привести к компрометации не подлежащих разглашению данных, находящихся во внутренней сети предприятия. [8] [9]

Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.

Согласно Frost&Sallivan, рынок UTM-систем в 2008 году вырос на 32.2%, а в 2009 году на 20.1%. [10]

Похожие решения: NGFW

[править | править код]

NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такую же функциональность. Первоначально создавалось как попытка объединить фильтрацию по портам и протоколам с функциональностью IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса. [11]

От отдельных решений к комплексным

[править | править код]

Исторически появившись первыми, отдельные упомянутые сетевые решения, призванные решать вопросы производительности и защищающие от серьезных угроз, сложны в развертывании, управлении, доработке и обновлении при использовании их в комплексе друг с другом, что увеличивает накладные расходы. Вместо этого сегодня спрос требует наличия интегрированного подхода к сетевой безопасности и производительности, который совмещает ранее разрозненные технологии. UTM позволяет решить сложившуюся проблему. [12]

Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли.

Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.

Достоинства

[править | править код]
  1. Уменьшение количества устройств. Одно устройство, один производитель.[13]
  2. Сокращение количества разнообразного программного обеспечения, а следовательно и расходов на его поддержку.
  3. Простое управление. Расширяемая архитектура, веб-интерфейс для управления настройками.
  4. Более быстрое обучение, необходимое для работы с одним устройством.

Недостатки

[править | править код]
  1. UTM является единой точкой отказа. Тем не менее, вероятность отказа такого устройства невелика.[13]
  2. Возможно влияние на время отклика и пропускную способность сети, если UTM-устройство не поддерживает максимально возможную в сети скорость передачи траффика.

Примечания

[править | править код]
  1. About Unified Threat Management. Yahoo Finance (11 февраля 2016). Архивировано из оригинала 4 марта 2016 года.
  2. UTM devices. TechTarget (16 декабря 2013). Дата обращения: 20 февраля 2016. Архивировано 4 марта 2016 года.
  3. Обзор корпоративных UTM-решений на российском рынке. Anti-Malvare (16 декабря 2013). Дата обращения: 17 февраля 2016. Архивировано 2 марта 2016 года.
  4. IDC. September 2007. Unified Threat Management Appliances and Identity-based Security: The Next Level in Network Security. IDC Go-to Market Services.
  5. World Unified Threat Management (UTM) Products Market. Frost&Sullivan.
  6. Accelerating_UTM_Specialized_Hardware. Дата обращения: 24 февраля 2016. Архивировано 6 августа 2015 года.
  7. Устройства Check Point UTM-1. Дата обращения: 1 марта 2016. Архивировано 11 января 2016 года.
  8. Через сотрудников утекает секретная информация компаний. Business Consulting Group (BCG).
  9. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с
  10. Expansion into Enterprise Segment Vital for Sustained Growth in the World Unified Threat Management (UTM) Products Market. Frost&Sallivan. Дата обращения: 20 февраля 2016. Архивировано 22 февраля 2016 года.
  11. UTM vs. NGFW: Unique products or advertising semantics? TechTarget.com. Дата обращения: 1 марта 2016. Архивировано 7 марта 2016 года.
  12. The rise of integrated security appliances. ChannelBusiness. (недоступная ссылка)
  13. 1 2 UTM. TechTarget. Дата обращения: 20 февраля 2016. Архивировано 27 февраля 2016 года.

Литература

[править | править код]
  • Защита компьютерной информации от несанкционированного доступа — М. : Наука и техника, 2004 - 384с