Utm устройство что это такое

09.10.202306.07.2022 admin 0 Comments

UTM-устройства: комплексный подход к IT-безопасности

Отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость.
Являясь формально объединенными в одной коробке, отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Это приводит к тому, что трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает.
Благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, отмеченному выше, увеличивается вероятность попадания в сеть потенциально опасного трафика.

1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.).
2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи.
3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации.
4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности.
5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных.
6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.

1. Уменьшить использование вычислительных ресурсов UTM-устройства, и, уменьшив требования к аппаратной части, снизить общую стоимость.
2. Добиться минимального замедления прохождения трафика через UTM-устройство, благодаря проведению не всех, а только необходимых проверок.
3. Противостоять не только известным угрозам, но и обеспечивать защиту от новых, еще не выявленных атак.

Источник

Обзор корпоративных UTM-решений на российском рынке

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

Что такое универсальные шлюзы безопасности (UTM)?

Аналитическое агентство IDC подразумевает под универсальным шлюзом безопасности (Unified Threat Management,UTM), такое устройство, которое имеет следующий минимальный набор функций:

По мнению Gartner UTM-система должна обеспечивать:

Однако становление современных UTM-систем происходило не сразу.

Исторически первыми решениями, вставшими на страже сетевой безопасности, были межсетевые экраны. Со временем, вместе с ростом потребностей бизнеса в защищённом удалённом доступе, к ним добавились технологии виртуальных частных сетей (VPN). В то же время, вместе с популярностью сетевых технологий активизировался рост хакерских атак, что катализировало разработку IDS/IPS-систем, о которых мы рассказывали в прошлый раз. Параллельно с этими решениями на защиту периметра сети вставали средства для борьбы со спамом и вирусами, а также web-фильтры, тем самым разгружая конечные точки. С течением времени «в полку прибыло» за счёт систем контентной фильтрации, DLP-систем и WAN-оптимизаторов. Однако затем стали проявляться проблемы совместного использования, управления и владения подобными армадами. Поиск решения привёл к идее UTM-системы.

Как и в случае с IPS-системами, можно условно разделить UTM-системы на «чистокровные» и «эволюционировавшие». Главное отличие «чистокровных» заключается в создании решения с нуля, использовании при их построении специально разработанных аппаратных платформ, собственных «самописных» операционных систем и т.д.

Сегодня некоторые вендоры уже говорят о следующем поколении – Next Generation UTM. Решения становятся модульными, а политики едиными, с ориентацией не на протоколы, а на приложения и пользователей.

UTM в мире

Если взглянуть на «магические квадраты» разных лет, можно проследить определённые тенденции и сделать выводы относительно распределения основных игроков.

Рисунок 1. «Магические квадраты» Gartner для UTM-решений

На июль 2013 года в лидерах присутствуют Fortinet, Check Point, Dell, WatchGuard и Sophos. Примечательно, что за период 2009-2013 состав лидеров отрасли практически не изменился. Новые имена Dell и Sophos связаны с покупкой этими компаниями SonicWALL и Astaro соответственно. Однако в отличие от мирового рынка, в России, как всегда, не обходится без особенностей.

UTM в России

Прежде всего, стоит отметить, что UTM-системы на отечественном рынке не так популярны, как многим хотелось бы. Во-первых, как уже упоминалось выше, компании попросту не верят в эффективность «одной универсальной коробки», которая способна заменить выстроенную по типу «конструктор» и выстраданную за долгие годы систему безопасности. Также есть определённые сомнения и в итоговой производительности решений в режиме «всё включено». Однако помимо психологических барьеров, оказавшихся чрезвычайно сильными в наших широтах, существуют и более материальные препятствия.

К примеру, в обязательное минимальное функциональное наполнение UTM-систем должны входить межсетевой экран, система обнаружения и защиты от вторжений, VPN и антивирус. Преимуществом продукта на российском рынке является сертификация ФСТЭК. Вот только требований именно к UTM до последнего времени не было (сперва были только для межсетевых экранов). Новые требования (к IPS и антивирусам) добавят новые направления сертификации и, как следствие, новые затраты.

Другим серьёзным препятствием, касающимся в первую очередь зарубежных производителей, является необходимость в освоении рынка «с нуля». Необходимо вкладывать большие деньги для обеспечения своего присутствия в России, как-то: офис, перевод материалов и сайта, организация партнёрской сети, обучение местных специалистов и т.д. Всё это естественным образом снижает количество «желающих».

Тем не менее, на российском рынке сегодня присутствуют следующие зарубежные игроки:

Отечественные компании также предлагаю свои разработки. К примеру:

О популярности идеи UTM-систем можно судить хотя бы по тому, сколько различных компаний ведут или вели разработки: HP, McAfee, Symantec, Microsoft, Zyxel, Dr.Web и т.д.

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности. Подробнее с техническими характеристиками можно ознакомиться здесь.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться здесь.

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100, строятся на собственной платформе Network Security SonicOS Platform и включают в себя: