UTM-устройства: комплексный подход к IT-безопасности

В последнее время все большую популярность в мире приобретают так называемые UTM-устройства, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности. Чтобы лучше разобраться в этих продуктах и понять их преимущество по сравнению с обычными решениями, мы обратились к компании Rainbow Technologies. На наши вопросы отвечает Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow.



Алексей Доля: Вы не могли бы рассказать о UTM-продуктах (Unified Threat Management) в целом? Что это такое и для чего они используются?

Дeян Момчилович: В последнее время, говоря об информационной безопасности, СМИ все чаще используют новый термин - UTM-устройства. Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим ИТ-рынок. По их классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.
UTM-устройства используются для легкого, быстрого и эффективного построения системы безопасности сетевых ресурсов. Они пользуются особой популярностью у компаний, относящихся к SMB (Small and Medium Business) благодаря простоте использования и экономичности.
Чтобы называться полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. То есть, должно выполнять следующие три функции. Во-первых, обеспечивать многоуровневую защиту в сети. Во-вторых, выполнять функции антивирусного фильтра, системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза. В-третьих, защищать от небезопасных web-сайтов и спама. При этом каждая функция отвечает за определенные операции. Например, многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным модулям устройства, которые занимаются обнаружением аномалий в трафике, анализом поведения хостов и сигнатурным сканированием файлов.
Отдельно стоит остановиться на защите от небезопасных web-сайтов и спама. Бесконтрольное перемещение сотрудников компании по Интернету повышает вероятность заражения шпионским ПО, троянскими программами и многими вирусами. Вдобавок, снижается производительность труда, уменьшается пропускная способность сети и может даже случиться, что компании придется отвечать перед законом за определенные нарушения. Служба URL-фильтрации позволяет наложить запрет на сайты с небезопасным или нежелательным содержимым. Можно упорядочить доступ к Web-ресурсам в зависимости от дня недели, потребностей подразделения или индивидуальных запросов пользователя. Что касается спама, то он может полностью заполнить почтовый сервер, перегрузить сетевые ресурсы и отрицательно сказаться на производительности труда сотрудников. Он также может являться носителем различных видов опасных атак, включая вирусы, социальную инженерию или фишинг. При использовании выделенной службы блокирования спама, можно эффективно остановить лишний трафик на сетевом шлюзе, прежде чем он попадет в сеть и нанесет вред.


Алексей Доля: В чем проявляется преимущество UTM-решений по сравнению с другими продуктами ИТ-безопасности?

Дeян Момчилович: Можно приобрести и установить отдельные устройства, такие как: межсетевой экран, антивирусный шлюз, систему предотвращения вторжений и т.д. А можно использовать одно устройство, выполняющее все эти функции. По сравнению с использованием отдельных систем, работа с комплексом UTM имеет целый ряд преимуществ. Во-первых, финансовая выгода. Интегрированные системы, в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств, используют намного меньше оборудования. Это отражается на итоговой стоимости. Полностью интегрированное решение может включать в себя межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления.
Во-вторых, остановка атак на сетевом шлюзе без прерывания рабочего процесса. Многоуровневый подход позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть. Так как уровни осуществляют защиту совместно, то проверенный по определенному критерию трафик повторно, на других уровнях, по тому же критерию еще раз не проверяется. Поэтому скорость трафика не снижается и чувствительные к скорости приложения, остаются доступными для работы.
В-третьих, простота установки и использования. Интегрированные системы с централизованным управлением позволяют легко настраивать, а также управлять устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы. Возможность с легкостью установить и развернуть системы, используя помощь "мастеров", оптимальные настройки "по умолчанию" и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети.
Есть и еще одно немаловажное отличие UTM-систем от традиционных решений. Дело в том, что решения, основанные на сигнатурах, в течение многих лет являются основой арсенала решений безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти системы обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа "точка-точка" (используемого в Napster, Gnutella и Kazaa).
В то же время, после выявления и идентификации предполагаемой угрозы до создания соответствующих файлов сигнатур, доступных для скачивания, может пройти от нескольких часов до нескольких недель. Этот "лаг" создает окно уязвимости (рис.1), в течение которого сети открыты для атаки:


В UTM-устройствах многоуровневая система безопасности работает совместно с решениями, основанными на сигнатурах и другими службами, обеспечивая более эффективную защиту от сложных угроз, которые появляются с пугающей частотой.


Алексей Доля: Какие UTM-решения представляет ваша компания? Какие функции они выполняют?

Дeян Момчилович: Rainbow Technologies является дистрибьютором американской компании WatchGuard на территории России и стран СНГ. По данным всемирно известного аналитического агентства IDC, WatchGuard является лидером по продажам UTM-устройств для SMB в США и Европе (данные 2005 года). На наш рынок поставляется линейка UTM-устройств Firebox X, рассчитанная как на крупные корпорации, так и на небольшие фирмы.
Firebox X Edge - это межсетевой экран и конечное VPN-устройство для малого бизнеса. Он предназначен для удаленных друг от друга офисов и мобильных пользователей и защищает корпоративные ресурсы от "неумышленных угроз" со стороны удаленных пользователей, возникающих при доступе в сеть.


Firebox X Core от WatchGuard - флагманская линейка UTM-устройств, обеспечивающая Zero-Day Protection - защиту от новых и неизвестных угроз еще до их возникновения и обнаружения. Попадающий в сеть трафик проверяется на множестве уровней, благодаря чему активно блокируются: вирусы, черви, шпионское ПО, трояны и смешанные угрозы без использования сигнатур.

Firebox X Peak представляет собой UTM - защиту для более разветвленных сетей, обеспечивая пропускную способность межсетевого экрана вплоть до 1 Гб.


Алексей Доля: Чем ваши UTM-продукты отличаются от UTM-продуктов конкурентов?

Дeян Момчилович: Сегодня в России представлены UTM-устройства только иностранных производителей. Причем, большинство из них, представляя свои устройства и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Наряду с неоспоримыми преимуществами, о которых говорилось ранее, данный подход обладает и серьезными недостатками:

Отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость.

Являясь формально объединенными в одной коробке, отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Это приводит к тому, что трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает.

Благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, отмеченному выше, увеличивается вероятность попадания в сеть потенциально опасного трафика.

В основе UTM-решений компании WatchGuard лежит архитектура Intelligent Layered Security (ILS), которая позволяет избавиться от перечисленных недостатков, присущих другим UTM-решениям. Рассмотрим подробнее принципы работы ILS. Эта архитектура является сердцевиной линейки UTM-устройств Firebox X компании WatchGuard и обеспечивает эффективную защиту для развивающихся предприятий. Используя динамическое взаимодействие между уровнями, ILS обеспечивает безопасность при оптимальной производительности устройства.
Архитектура ILS состоит из шести слоев защиты (рис.2), взаимодействующих друг с другом. Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный попускается внутрь сети. Это позволяет противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.


Каждый слой защиты выполняет следующие функции:

1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.).

2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи.

3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации.

4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности.

5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных.

6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.

Все эти уровни защиты активно взаимодействуют друг с другом, передавая данные, полученные при анализе трафика в одном слое всем другим слоям. Что позволяет:

1. Уменьшить использование вычислительных ресурсов UTM-устройства, и, уменьшив требования к аппаратной части, снизить общую стоимость.

2. Добиться минимального замедления прохождения трафика через UTM-устройство, благодаря проведению не всех, а только необходимых проверок.

3. Противостоять не только известным угрозам, но и обеспечивать защиту от новых, еще не выявленных атак.

Алексей Доля: Какую техническую поддержку получают пользователи ваших UTM-продуктов?

Дeян Момчилович: Основой всех решений WatchGuard является непрерывная поддержка защищенности периметра сети на самом высоком уровне, что достигается при помощи электронного сервиса LiveSecurity. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Все продукты линейки Firebox X обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая, на сегодняшний день, является наиболее полной в ИТ-индустрии системой дистанционной технической поддержки и услуг.
LiveSecurity состоит из нескольких модулей. Они, в свою очередь, включают в себя: техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства, а также специальные сообщения LiveSecurity Broadcasts (оперативное оповещение об угрозах и методах борьбы с ними).


Алексей Доля: Сколько стоят ваши UTM-решения и во сколько ежегодно обходится их эксплуатация? Где можно приобрести ваши продукты?

Дeян Момчилович: Мы не работаем с конечными пользователями, так как не имеем структуры розничных продаж - это наша торговая политика. Приобрести UTM-устройства WatchGuard Firebox X можно у наших партнеров - системных интеграторов или реселлеров, список которых есть на сайте http://www.rainbow.msk.ru. У них же можно получить информацию и о розничной стоимости этих устройств.


Алексей Доля: Каковы Ваши прогнозы по продажам UTM-устройств в нашей стране?

Дeян Момчилович: Во всем мире продажи UTM-устройств растут. И наш рынок - не исключение. По сравнению с 2002 годом, сегмент UTM-устройств к 2005 году вырос на 160% (по данным исследования мирового рынка агентством IDC). Эта цифра говорит об очень стремительном росте, и, несмотря на то, что российский рынок значительно "запаздывает" от США и Европы, мы также прогнозируем значительное увеличение популярности UTM-устройств и на нем уже в самое ближайшее время.


Алексей Доля: Спасибо, что уделили нам время и ответили на все вопросы. Удачи и всего хорошего!