Унифицированные средства защиты от угрозЕсть ли шанс у заказчика внедрить то, что ему нужно?

Илья Розенкранц
Менеджер по продукту ALTELL NEO,
компания “АльтЭль"

Отвечая на эти вызовы, ведущие мировые IТ-компании развивают новые технологии, нацеленные на выявление и предотвращение атак, осуществляемых на самых разных уровнях: от канального до уровня приложений. Одним из решений описанной проблемы стала интеграция в межсетевой экран функций других специализированных устройств, например Web-фильтра и криптошлюза, что позволило обеспечить защиту периметра сети из единого центра. Получившийся тип устройств получил обозначение UTM (Unified Threat Management, унифицированные средства защиты от угроз). Также становится популярным термин "межсетевые экраны нового поколения" (NGFW, Next Generation Firewall), но автор считает, что UTM и NGFW – одно и то же и отличаются только в рекламных материалах.

История UTM

История развития UTM-устройств началась около 25 лет назад, когда в 1988 г. компания DEC представила свой пакетный фильтр, работающий на третьем уровне модели OSI и анализирующий только заголовок пакета. Он и стал первой коммерческой "огненной стеной". В то время этого было достаточно и МЭ без учета состояния (stateless inspection firewalls) стали неотъемлемой частью системы обеспечения ИБ.

Практически параллельно с этими событиями в 1989– 1990 гг. миру были представлены МЭ, работающие с данными 4 уровня OSI – так называемые межсетевые экраны с учетом состояний (stateful inspection firewall). Закономерно, что ИБ-специалисты также рассматривали возможность контроля и фильтрации трафика на уровне приложений, но на то время (начало 1990-х гг.) реализация этого метода блокировалась недостаточной производительностью вычислительных систем. Только к середине 2000-х гг. производительность аппаратных платформ наконец-то позволила выпустить первые UTM-решения.

UTM – как много в этом звуке…

На заре эры UTM-устройств (2004–2005 гг.) все их компоненты были уже созданы: активно применялись МЭ с режимом контроля состояний (stateful inspection), механизмы для построения защищенных сетей по общедоступным каналам связи (VPN), сетевые системы обнаружения и предотвращения вторжений (IDS/IPS), Web-фильтры. Но решение одной проблемы (обеспечение необходимого уровня ИБ) привело к появлению других: резко выросли требования к квалификации обслуживающего персонала, повысилось энергопотребление, увеличились требования к объему серверных помещений, стало сложнее управлять процессом обновления программной и аппаратной частей такой комплексной системы безопасности. Кроме того, по экспоненте росли проблемы с интеграцией новых средств защиты информации в уже существующую инфраструктуру, ведь часто она состояла из продуктов от разных разработчиков. По этой причине возникла идея объединить все перечисленные функции в одном устройстве, тем более что к тому времени аппаратные платформы достигли достаточного уровня производительности и могли одновременно справляться с несколькими задачами. В результате на рынке появились UTM-решения, позволяющие снизить издержки на защиту информации и в то же время повысить уровень информационной безопасности, так как их начинка уже изначально отлажена и оптимизирована для одновременной работы всех включенных в нее функций.

Востребованность и правильность такого подхода подтверждают цифры международной исследовательской компании IDC, согласно которым в первой четверти 2013 г. сегмент UTM-устройств вырос на 36,4% (год к году), и теперь на них приходится около 37% мирового рынка аппаратных устройств для защиты информации. Для сравнения: спад выручки по направлению Firewall/VPN за аналогичный период составил 21,2%. Но так ли все безоблачно и однозначно?

Ложка дегтя в бочке меда

Как и большинство вещей в этом мире, UTM-устройства имеют не только достоинства, но и недостатки. Основное преимущество UTM-решений – их универсальность – одновременно может стать их главной уязвимостью: при включении всех доступных функций производительность UTM может значительно упасть, иногда на порядок. Особенно требовательны к вычислительным ресурсам IDS/IPS-системы, Web-фильтры и антивирусы.

Также стоит учитывать, что если все же злоумышленнику удалось получить административный доступ к UTM-устройству, то скомпрометированной окажется вся линия обороны, поэтому в некоторых случаях целесообразно использовать выделенные решения одного назначения (защита ЦОД, выделение DMZ). То есть принцип эшелонированной обороны никто не отменял и его стоит соблюдать.

Третий немаловажный аспект – если UTM-устройство выйдет из строя в результате поломки, то уровень информационной безопасности организации может упасть до критически опасного. Поэтому всегда стоит учитывать, способен ли поставщик вовремя произвести замену вышедшего из строя устройства и поддерживает ли оно работу в режиме кластера (Active/Passive или Active/Active).

Но значит ли это, что UTM – очередная маркетинговая уловка? Вовсе нет, просто необходимо понимать, что само по себе объединение разных функций в "межсетевом экране нового поколения" не отменяет необходимости грамотного планирования стратегии развития IТ- и ИБ-службы, проработки и применения политик безопасности, соответствующего обучения персонала и учета перечисленных выше особенностей UTM-устройств. Только в таком случае преимущества UTM раскрываются в полную силу, и организация получает надежную, легко администрируемую и масштабируемую систему с меньшими, чем у традиционных средств защиты, издержками. По этой причине ответ на вопрос, вынесенный в название этой статьи, таков – шанс выбрать UTM-устройство, подходящее вашей организации, есть, и при учете указанных выше особенностей он приблизится к 100%. Для того чтобы максимально увеличить этот показатель, ниже приведен список вопросов, ответы на которые должны помочь вам в решении ваших задач.

Вопросы при выборе UTM-устройства

В первую очередь необходимо четко определить характеристики собственной сети и каналов связи:

1. Каков географический охват сети компании?
2. Какое количество серверов и рабочих станций располагается в каждом офисе компании?
3. Есть ли необходимость удаленного подключения сотрудников?
4. Каковы пропускная способность каналов связи и процент загруженности каналов?
5. Какое количество станций и серверов включено в инфраструктуру Active Directory?
6. Какой трафик перемещается из филиалов в Интернет и между филиалами (VoIP, Axapta, 1C, Citrix, RDP и т.д.)?
7. Работает ли компания с иностранными контрагентами (необходима ли совместимость с устройствами иностранных вендоров)?

Затем необходимо максимально прояснить ситуацию с производителем и поставщиком UTM-устройства:

1. Какой функционал UTM предусмотрен (антивирус и антиспам, IDS/IPS, Web-фильтрация)?
2. Имеет ли применяемый в UTM межсетевой экран функционал контроля состояний (stateful inspection)?
3. Каково рекомендуемое число пользователей при включении требуемого числа функций UTM?
4. Поддерживается ли функциональность VPN? Если да, то какие протоколы поддерживаются?
5. Имеется ли возможность строгой аутентификации пользователей?
6. Имеется ли возможность управления несколькими UTM из единой консоли?
7. Какие протоколы маршрутизации поддерживаются?
8. Возможно ли расширение функционала МЭ до полноценного UTM-решения, если это потребуется в будущем?
9. Возможно ли создание отказоустойчивого решения?
10. Возможна ли настройка функциональности QoS?
11. Какое исполнение портов возможно: Ethernet, SFP, SFP+, Е1/Т1, InfiniBand?
12. Насколько проста первоначальная настройка устройства? Есть ли типовые конфигурации?
13. Насколько гибко можно настроить политики безопасности?
14. Удобен ли пользовательский интерфейс?
15. Какие сертификаты ФСТЭК/ФСБ имеются (МЭ, СКЗИ, СОВ)?