security_guard2 Unified Threat Management Концепция Unified Threat Management (UTM), представляющая класс новых высокопроизводительных устройств для обеспечения защиты сетевых ресурсов с многофункциональными характеристиками и максимально широким спектром предотвращаемых угроз, на сегодняшний день является одной из наиболее динамично развивающихся линеек на рынке ИТ-решений. Совмещая функции абсолютно разных устройств – от межсетевых экранов, систем обнаружения и предотвращения сетевых вторжений, до антивирусных шлюзов и средств по контролю работы с приложениями – UTM-устройства завоевывают популярность на рынке и активно внедряются специалистами по ИБ в корпоративные ИТ-системы.

WatchGuard-UTM-Platform Аббревиатура UTM обозначает Unified Threat Management, что подразумевает объединенное (комплексное) управление угрозами. Потребителям предлагается вариант, когда «UTM-решение» выполнено в качестве объединения функционала независимых устройств сетевой безопасности (межсетевой экран, антивирус, система обнаружения и предотвращения вторжений) в рамках единого корпуса с централизованной системой мониторинга и управления. Но подобные устройства не считаются полноценной UTM-системой и во многом уступают оригинальным решениям. В данной обзорной статье изложена информация, которая поможет понять суть UTM-решений и систем, а также их практического применения, преимуществ и спектра действия.

XTM-5-Series-UTM UTM устройства Одно из наиболее очевидных преимуществ оригинальных UTM-систем — это комплексность самого решения и его построение на базе одной платформ с включением множества сигнатур и подписок, обеспечивающих широту сферы применения устройств, а также интеграцию как аппаратной, так и виртуальной части предлагаемых решений. За счет оптимального построения архитектуры UTM-решений, специалисты ИБ могут использовать возможности, среди которых: функционал межсетевого экрана, VPN, система блокирования вредоносного программного обеспечения, и система предотвращения сетевых вторжений. Кроме стандартного «набора сетевой безопасности», производители UTM-устройств предлагают такие возможности (системы) своих решений как: предотвращение утечек данных (DLP), контроль доступа к сети, фильтрация URL адресов, управление приложениями, управление беспроводными Wi-Fi сетями, маршрутизация, управление WAN интерфейсами и зашифрованными данными.

integrated_securityВ принципе, UTM-устройства – это центральное звено, которое может быть использовано для легкого, быстрого и эффективного построения системы безопасности сетевых ресурсов на любом корпоративном уровне – т.е. внедрение данных программно-аппаратных комплексов актуально как для предприятий малых, так и крупных форм. Благодаря простоте использования и экономичности решения класса UTM приобретают все большую популярность и спрос, не говоря уже о актуальности своевременном и качественном предотвращении сетевых угроз – и обеспечении кибер-безопасности организаций и их деятельности.

Возвращаясь к вопросу о комплектации решений: чтобы называться полноценным UTM-устройством, оно должно быть активным, интегрированным и многоуровневым по своей архитектуре. В обобщенном виде, UTM-устройства должны выполнять три базовые функции: (1) обеспечивать многоуровневую защиту сетевого периметра – как локального, так и виртуального; (2) выполнять функции антивирусного фильтра, системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза; (3) обеспечивать защиту от небезопасных web-сайтов и спама. При этом каждая функция отвечает за определенные операции. Например, многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным модулям устройства, которые занимаются обнаружением аномалий в трафике, анализом поведения хостов и сигнатурным сканированием файлов.

Преимущества использования UTM-устройств

Для построения системы сетевой защиты можно использовать один из двух основных подхода:

  1. Приобрести и установить отдельные устройства, которые будут сконфигурированы на выполнение конкретных функций: межсетевой экран, антивирусный шлюз, систему предотвращения вторжений и т.д.
  2. Использовать одно UTM-устройство, выполняющее все эти функции.

Выбор первого варианта реализации системы ИБ на сегодняшний день утрачивает свою актуальность ввиду нескольких основных моментов: (1) отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость; (2) несмотря на факт объединения «в одной коробке», отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Результат —  трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает; (3) благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, увеличивается вероятность попадания в сеть потенциально опасного трафика. Все изложенное выше заставляет задуматься об эффективности данного способа реализации корпоративной сетевой защиты. И преимущества UTM-решений во многом способствуют переходу интеграторов систем ИБ именно к использованию программно-аппаратных UTM-комплексов в качестве центрального звена системы ИБ.

Работа с комплексом UTM имеет целый ряд преимуществ, отличающий данное устройство от совокупности отдельных целевых решений.

Финансовая выгода

Интегрированные системы, в отличие от решений многоуровневой безопасности, построенных на основе множества отдельных устройств, используют намного меньше оборудования, что не может не отражаться на конечной стоимости. Полностью интегрированное решение может включать в себя: межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления. И все это — по вполне разумной цене.

Предотвращение атак на уровне сетевого шлюза без прерывания рабочего процесса

Многоуровневый подход реализации UTM-решения позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть – т.е. на уровне межсетевых шлюзов. Так как уровни осуществляют защиту совместно, то проверенный по определенному критерию трафик повторно, на других уровнях, по тому же критерию еще раз не проверяется. Поэтому скорость трафика не снижается и чувствительные к скорости приложения, остаются доступными для работы.

Простота установки и использования

Интегрированные системы с централизованным управлением гарантируют легкость настройки, а также простоту и удобство управления устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы. Возможность с легкостью установить и развернуть системы, используя помощь «мастеров», оптимальные настройки «по умолчанию» и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети.

Интегрированные в UTM-комплексы сигнатуры

Решения, основанные на сигнатурах, в течение многих лет являются основой арсенала решений безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти системы обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа «точка-точка». При этом производитель UTM-решений выбирает наилучшие решения и сигнатуры для интеграции в свой UTM-комплекс – что не только делает решение более экономичным, но и существенно отражается на общей производительности системы и ее надежности.

 

 

UTM-системы призваны обезопасить сетевое пространство от множества разнообразных атак: сетевые вторжения, DoS/DDoS атаки, вирусы, рекламное и шпионское ПО, rootkits (ПО, внедряющаяся в ОС и перехватывающая команды к файлам на жестком диске, а также перехватывающая контроль работы сервисных программ), DNS Poisoning (перенаправление трафика с нормальных ресурсов на зараженные, в результате чего вредоносное ПО проникает на компьютер и в общую ИТ-систему) и пр. Благодаря своей многоуровневой структуре построения, конфигурациям и параметрам работы, а также благодаря наличию интегрированных сигнатур, UTM-решения обеспечивают мощную, комплексную, всеобъемлющую защиту от сложных угроз. А это именно то, что в условиях работы современного бизнеса требуется от системы ИБ.

В основе UTM-решений компании WatchGuard лежит архитектура Intelligent Layered Security (ILS), которая обеспечивает динамическое взаимодействие между уровнями, тем самым гарантируя безопасность при сохранении оптимального уровня производительности устройства.

Архитектура ILS состоит из шести слоев защиты, взаимодействующих друг с другом. Благодаря данной конфигурации системы, подозрительный трафик динамически выявляется и блокируется (т.е. в режиме реального времени), а нормальный пропускается внутрь сети для дальнейшей работы с ним. Все это обеспечивает возможность противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.

Каждый из уровней защиты выполняет свою функцию:

  1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.);
  2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи;
  3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации;
  4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности;
  5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных;
  6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.

 

 

Заинтересовались продуктами от WatchGuard? По вопросам консультации и приобретения UTM-устройств от WatchGuard Вы можете обратиться к нашим специалистам.

Добавить комментарий