Решения по обеспечению безопасности, защищающие от множества угроз, но требующие минимальных затрат на администрирование, нужны прежде всего небольшим компаниям. Организации, которые могут позволить себе только одного администратора для всех задач, интересуются решениями «все в одном» для единого управления угрозами (Unified Threat Management, UTM) точно так же, как и крупные предприятия, которым необходимо обеспечить защиту малых филиалов. Решения UTM существуют в форме программных продуктов (см. Рисунок 1), предполагающих установку дополнительного сервера, и в виде аппаратных устройств с предустановленной операционной системой и интегрированными приложениями безопасности (см. Рисунок 2).

Рисунок 1. В виде поддерживаемого BSD программного обеспечения ComixWall существуют даже UTM с открытыми исходными кодами. Однако подход «все в одном» оправдан только при наличии договора на сервисное обслуживание.  Рисунок 2. Снаружи они выглядят как простые коробки: устройства UTM (здесь типичные устройства от WatchGuard и Fortinet) облегчают управление многообразием функций в сфере безопасности. 

Однако как понять, подходит ли предприятию решение UTM и хорош ли предлагаемый ему продукт? Выбор богат. Astaro, BorderWare, Check Point, Clavister, Collax, Fortinet, gateProtect, IBM/ISS, IronPort, NETASQ, Radware, Secure Computing, Securepoint, SonicWALL, SurfControl, VarySys, WatchGuard и Websense — это лишь часть компаний, в том или ином виде использующих ключевое слово «UTM».

INTERNET ВСЕМУ ВИНОЙ

Не все упомянутые системы имеют одинаковую функциональность. Эти продукты объединяет их происхождение — они появились в то время, когда Internet стал для предприятий важным фактором бизнеса. Классическая комбинация из брандмауэра и шлюза VPN потеряла тогда свое значение в качестве главной защиты внутренней сети, поскольку большинство атакующих пытались добраться до корпоративных ресурсов через порт 80 сервера Web. Фильтры содержимого, направленные против троянов, шпионских программ, спама и прочего вредоносного содержания, а также IDS, IPS и множество специальных решений требовали постоянного увеличения числа систем защиты и в итоге стали непосильным бременем для предприятий, особенно небольших. Стараясь вернуться к централизованному шлюзу безопасности, производители принялись устанавливать на брандмауэрах все большее количество дополнительных средств защиты для трафика Internet.

Приблизительно в 2004 г. начались разговоры о Unified Threat Management. Постепенно выработался своего рода «функциональный канон», отражающий запросы пользователей в отношении устройств UTM: им нужны шлюз Internet, брандмауэр, шлюз VPN, антивирус, фильтр содержимого, защита от спама, обнаружение/предотвращение внедрения вредоносных компонентов, средства обеспечения безопасности Internet и, при необходимости, поддержка аутентификации, управление пропускной способностью (качеством сервиса) и функции составления отчетов.

УПРОЩЕНИЕ УПРАВЛЕНИЯ В КАЧЕСТВЕ СТИМУЛА

Для большинства компаний основными причинами использования UTM, несомненно, являются поставка из одних рук и простота управления за счет единого пользовательского интерфейса (см. также врезку «Потенциал экономии — на поверхности»). Однако различия в качестве начинают проявляться и здесь. Большинство систем UTM базируются на лицензированных продуктах различных производителей. Поставщик UTM может внести лишь косметические изменения, снабдив управление этими системами единым графическим пользовательским интерфейсом, или же действительно реализовать более или менее одинаковую логику управления во всех разделах. Быть уверенным в том, что затраты на обучение управлению единой комплексной системой действительно окажутся ниже, чем при работе с несвязанными приложениями, можно только при условии общего происхождения компонентов и проверке возможностей управления.

ФУНКЦИОНАЛЬНАЯ ИНТЕГРАЦИЯ ОБЯЗАТЕЛЬНА

Второй фактор интеграции касается внутреннего обмена информацией между компонентами. Теоретически, по сравнению с отдельными продуктами решение UTM лучше справляется с так называемыми смешанными угрозами (Blended Threats) — атаками, при которых нападающий пытается использовать сразу несколько технологий: внедрение удаленно управляемого вредоносного ПО, которое, в свою очередь, может использоваться для попыток взлома якобы изнутри, затем перехват и интеграция отдельных серверов в бот-сеть для отправки сорных сообщений и так далее.

Продукт UTM, способный соотносить между собой результаты, зафиксированные отдельными сенсорами, возможно, сможет обнаружить закономерности между аномалиями в сети, которые сами по себе малозначительны. В любом случае, при выборе продукта попросите продемонстрировать, насколько развита система целостной оценки сведений, получаемых от отдельных модулей.

СОСТАВЛЕНИЕ ОТЧЕТОВ ИМЕЕТ ОСОБОЕ ЗНАЧЕНИЕ

Консолидированная техника защиты должна обеспечивать возможность составления отчетов, содержание которых не ограничивается простым перечнем отдельных результатов и файлов системных журналов. От систем UTM следует ожидать отчетов, демонстрирующих взаимосвязь отдельных результатов и вносящих существенный вклад в упрощение управлением рисками. Если соблюдение правовых норм является обязательным, то необходимо проверить, насколько эти отчеты удобны для использования в работе различных целевых групп. Изложение материала должно быть простым и понятным не только опытным техническим специалистам, но и руководителю предприятия, который, к примеру, желает доказать адвокатам или банку, что он предпринял надлежащие меры по обеспечению безопасности и может ручаться за их эффективность.

ГИБКОСТЬ — ГАРАНТИЯ НА БУДУЩЕЕ

Остается решить вопрос о принципиальной целесообразности использования UTM. Вначале следует выяснить, какой объем информации придется обрабатывать выбранному продукту в обслуживаемом им филиале или на предприятии. Устройства UTM обладают ограниченной производительностью, и ее должно быть достаточно при активации пользователем всех необходимых ему функций безопасности. В противном случае администратору все-таки придется восстанавливать минимальную производительность путем отключения отдельных функций или, если выбранная технология это позволяет, подключать второе устройство в режиме балансировки нагрузки.

Первый вариант катастрофичен для уровня безопасности. Второй — лишает концепцию UTM потенциала экономии за счет установленного аппаратного обеспечения, но, по крайней мере, сохраняет преимущества упрощенного управления. Поэтому тщательно рассчитайте ваши текущие потребности, а если предвидится рост предприятия, выбирайте продукты, позволяющие последующее расширение. Кстати, последнее следует учитывать и в случае сомнений в необходимости внедрения сразу всех возможностей устройства UTM. Оптимальный для дальнейшего использования вариант: выбор системы, где компоненты активируются по мере необходимости после приобретения лицензионных ключей.


Беттина Вессельманн — независимая журналистка, пишущая на темы информационной безопасности.


© AWi Verlag


Потенциал экономии — на поверхности

оначалу UTM привлекает многих своей возможностью управления всеми компонентами безопасности из одного графического пользовательского интерфейса, — заявляет Хельге Шерф, менеджер по продажам компании Wick Hill, дистрибьютора, специализирующегося на системах безопасности и предлагающего сразу несколько продуктов в этой категории и сервисную поддержку. — Клиенты ожидают снижения затрат на обучение и некоторого упрощения работы системного администратора». С его точки зрения, эти цели вполне могут быть достигнуты. Однако существуют и другие причины, из-за которых затраты на содержание одного решения UTM оказываются ниже, чем поддержка целой коллекции лучших в своем классе отдельных продуктов. Он обращает внимание на то, что пользователь получает все обновления и заплаты из одних рук и общается с одной службой поддержки, при этом не возникает путаницы с множеством лицензий. К этому перечню следует добавить и консолидированную отчетность.

Виллиам Грибель, системный инженер Wick Hill, приводит ряд других весомых доводов в пользу UTM: «Малым предприятиям или филиалам с небольшим количеством сотрудников не стоит недооценивать простое преимущество, заключающееся в том, что технологии безопасности объединены, как правило, в одном устройстве. Там, где часто не находится места для серверного помещения, удовлетворяющего профессиональным требованиям, экономия места, устройств и кабельной проводки является весьма привлекательным фактором». Кроме того, по словам Виллиама Грибеля, при использовании устройств UTM администратору не приходится защищать от нападений сам сервер безопасности. «Устройства, к примеру, от Fortinet, уже оснащены «закаленной» операционной системой. Критики, считающие, что в результате объединения всех защитных механизмов в одном устройстве возникает точка общесистемного сбоя, не учитывают, что небольшие организации зачастую не располагают квалифицированным персоналом, который мог бы осуществить оптимальную настройку нескольких отдельных лучших в своем классе продуктов».