Главная
Unified threat management (UTM-система, UTM-решение, UTM-устройство, шлюз безопасности) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. UTM — модификация обыкновенного файервола, продукт «все включено» , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус.
Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.
Особенности реализации
Для достижения высокой производительности UTM-решения, как правило, используется специализированное аппаратное и программное обеспечение. Архитектура UTM-устройства далее будет рассмотрена на примере решения компании Fortinet, одного из лидеров на рынке подобных устройств. Помимо CPU общего назначения в вычислениях задействованы процессор данных, сетевой сопроцессор и security процессор. За счет таких улучшений UTM-устройство способно работать на скоростях от 1Gbps.
Content processor
Был разработан и оптимизирован для высокоскоростной обработки подозрительных сетевых пакетов и сжатых файлов и сравнения их с уже известными образцами угроз, содержащихся в памяти. Обрабатываемый трафик поступает от CPU общего назначения, а не прямо из сети. Данное ядро ускоряет вычисления, выполняемые на уровне приложений, то есть логически относящиеся к антивирусу, службе предотвращения вторжений (IPS) и т.д.
Network processor
Оптимизирован под задачи высокоскоростной обработки сетевых потоков. Снижает нагрузку на остальные компоненты системы. Занимается обработкой TPC-сегментов, трансляцией сетевых адресов и некоторыми задачами шифрования. Пересобирает фрагментированные пакеты, предупреждая способ обхода служб безопасности, когда угроза оказывается в разных фрагментированных пакетах.
Security processor
Ускоряет выполнение задач антивируса, службы предотвращения вторжений и предотвращения потери данных. Разгружает центральный процессор, принимая от него вычислительно сложные задачи.
Программные компоненты
Firewall
Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.
IPSEC VPN
Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.
URL Filtering
Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.
Antivirus & Anti-Malware
Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.
Anti-Spam & Email Security
Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.
Acceleration and Clustering
Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.
Web Security
Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.
Предпосылки к появлению
Необходимость в UTM-решениях возникла на почве растущего числа хакерских атак на корпоративные информационные системы с помощью взлома, вирусов, червей. Новые виды атак нацелены на пользователей как на самое слабое звено в предприятии.
Сейчас существует множество средств для взлома систем, имеющих слабую защиту. Таким образом, безопасность данных и несанкционированный доступ своих же сотрудников к данным стали основными проблемами, с которыми столкнулись современные компании. Нарушение конфиденциальности данных в конечном итоге может привести к большим финансовым потерям. Компании только недавно начали признавать тот факт, что пренебрежение основами информационной безопасности среди сотрудников способно привести к компрометации не подлежащих разглашению данных, находящихся во внутренней сети предприятия.
Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.
Согласно Frost&Sallivan, рынок UTM-систем в 2008 году вырос на 32.2%, а в 2009 году на 20.1%.
Похожие решения: NGFW
NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такую же функциональность. Первоначально создавалось как попытка объединить фильтрацию по портам и протоколам с функциональностью IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса.
От отдельных решений к комплексным
Исторически появившись первыми, отдельные упомянутые сетевые решения, призванные решать вопросы производительности и защищающие от серьезных угроз, сложны в развертывании, управлении, доработке и обновлении при использовании их в комплексе друг с другом, что увеличивает накладные расходы. Вместо этого сегодня спрос требует наличия интегрированного подхода к сетевой безопасности и производительности, который совмещает ранее разрозненные технологии. UTM позволяет решить сложившуюся проблему.
Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли.
Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.