Главная
Новости
Строительство
Ремонт
Дизайн и интерьер




18.04.2021


18.04.2021


18.04.2021


18.04.2021


18.04.2021





Яндекс.Метрика

Unified threat management

12.03.2021

Unified threat management (UTM-система, UTM-решение, UTM-устройство, шлюз безопасности) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. UTM — модификация обыкновенного файервола, продукт «все включено» , объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус.


Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.


Особенности реализации

Для достижения высокой производительности UTM-решения, как правило, используется специализированное аппаратное и программное обеспечение. Архитектура UTM-устройства далее будет рассмотрена на примере решения компании Fortinet, одного из лидеров на рынке подобных устройств. Помимо CPU общего назначения в вычислениях задействованы процессор данных, сетевой сопроцессор и security процессор. За счет таких улучшений UTM-устройство способно работать на скоростях от 1Gbps.

Content processor

Был разработан и оптимизирован для высокоскоростной обработки подозрительных сетевых пакетов и сжатых файлов и сравнения их с уже известными образцами угроз, содержащихся в памяти. Обрабатываемый трафик поступает от CPU общего назначения, а не прямо из сети. Данное ядро ускоряет вычисления, выполняемые на уровне приложений, то есть логически относящиеся к антивирусу, службе предотвращения вторжений (IPS) и т.д.

Network processor

Оптимизирован под задачи высокоскоростной обработки сетевых потоков. Снижает нагрузку на остальные компоненты системы. Занимается обработкой TPC-сегментов, трансляцией сетевых адресов и некоторыми задачами шифрования. Пересобирает фрагментированные пакеты, предупреждая способ обхода служб безопасности, когда угроза оказывается в разных фрагментированных пакетах.

Security processor

Ускоряет выполнение задач антивируса, службы предотвращения вторжений и предотвращения потери данных. Разгружает центральный процессор, принимая от него вычислительно сложные задачи.


Программные компоненты

Firewall

Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.

IPSEC VPN

Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.

URL Filtering

Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.

Antivirus & Anti-Malware

Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.

Anti-Spam & Email Security

Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.

Acceleration and Clustering

Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.

Web Security

Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.

Предпосылки к появлению

Необходимость в UTM-решениях возникла на почве растущего числа хакерских атак на корпоративные информационные системы с помощью взлома, вирусов, червей. Новые виды атак нацелены на пользователей как на самое слабое звено в предприятии.

Сейчас существует множество средств для взлома систем, имеющих слабую защиту. Таким образом, безопасность данных и несанкционированный доступ своих же сотрудников к данным стали основными проблемами, с которыми столкнулись современные компании. Нарушение конфиденциальности данных в конечном итоге может привести к большим финансовым потерям. Компании только недавно начали признавать тот факт, что пренебрежение основами информационной безопасности среди сотрудников способно привести к компрометации не подлежащих разглашению данных, находящихся во внутренней сети предприятия.

Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.

Согласно Frost&Sallivan, рынок UTM-систем в 2008 году вырос на 32.2%, а в 2009 году на 20.1%.

Похожие решения: NGFW

NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такую же функциональность. Первоначально создавалось как попытка объединить фильтрацию по портам и протоколам с функциональностью IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса.

От отдельных решений к комплексным

Исторически появившись первыми, отдельные упомянутые сетевые решения, призванные решать вопросы производительности и защищающие от серьезных угроз, сложны в развертывании, управлении, доработке и обновлении при использовании их в комплексе друг с другом, что увеличивает накладные расходы. Вместо этого сегодня спрос требует наличия интегрированного подхода к сетевой безопасности и производительности, который совмещает ранее разрозненные технологии. UTM позволяет решить сложившуюся проблему.


Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли.

Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.

Достоинства

  • Уменьшение количества устройств. Одно устройство, один производитель.
  • Сокращение количества разнообразного программного обеспечения, а следовательно и расходов на его поддержку.
  • Простое управление. Расширяемая архитектура, веб-интерфейс для управления настройками.
  • Более быстрое обучение, необходимое для работы с одним устройством.
  • Недостатки

  • UTM является единой точкой отказа. Тем не менее, вероятность отказа такого устройства невелика.
  • Возможно влияние на время отклика и пропускную способность сети, если UTM-устройство не поддерживает максимально возможную в сети скорость передачи траффика.