Универсальное устройство Unified threat management, иначе называемое UTM-системой, создано для обеспечения компьютерной безопасности. Его применение в целях защиты цифровых данных началось в 2004 году, поскольку обычные виды межсетевых экранов уже не могли справляться со всё более изощрёнными сетевыми атаками. Unified threat management является модификацией стандартного межсетевого экрана (Firewall), в связи с чем включает в себя функции, направленные на обеспечение защиты персональных данных. Это становится возможным за счёт включения в UTM-решение задач поиска, а также предотвращения сетевых угроз, антивируса, межсетевого экрана и VPN.
Впервые термин «Unified threat management» был использован IDC – компанией, ведущей исследование телекоммуникаций и всемирных информационных технологий. Главным достоинством UTM является то, что система представляет собой единый комплекс, выполняющий сразу все необходимые пользователю функции: антивируса, контент-фильтра, IPS – службы по предотвращению вторжений и сетевых атак, что намного удобнее и эффективнее, чем администрирование нескольких устройств единовременно.
UTM могут быть реализованы как в виде программного решения(устанавливаемого на выделенный сервер или в качестве виртуальной машины), так и в виде программно-аппаратного комплекса. В последнем случае для вычислений используется не только центральный процессор общего назначения, но и ряд специальных процессоров. Благодаря данному свойству скорость работы UTM-шлюза может достигать 1Gbps и выше.
Разработан в целях высокоскоростной обработки подозрительных сетевых пакетов, а также архивированных файлов и их сравнении с теми видами угроз, которые уже записаны в память. Трафик обрабатывается не напрямую через сеть, а от CPU общего назначения, что ускоряет скорость вычисления операций, логически относящихся к службе IPS и антивируса.
Осуществляет высокоскоростную обработку сетевых потоков, снижая нагрузку на прочие системные компоненты. Также осуществляет шифрования, трансляцию сетевых адресов и обработку TCP-сегментов. Способен вычислить угрозу даже тогда, когда данные фрагментированы для обхода служб безопасности, путём их сортировки, вычисляет реальное назначение конечного пакета данных.
Позволяет значительно повысить производительность антивируса, службы предотвращения потери данных и службы IPS (предотвращения сетевых вторжений). Принимает на себя сложно вычислимые задачи, значительно разгружая таким образом CPU.
Многоуровневый межсетевой экран защищает пользователя от атак не только на уровне сети, но и на уровне приложений: доступ к внутренним данным осуществляется только после аутентификации, обеспечивая доступ исключительно санкционированным пользователям; возможно создание различных уровней прав доступа для различных пользователей. Имеется поддержка NAT-трансляции сетевых адресов без раскрытия внутренней архитектуры сети организации.
Обеспечивает быстрое и простое создание безопасных VPN сетей – на основе домена шифрования или правил маршрутизации – объединяя таким образом функции шифрования, аутентификации, контроля доступа. Позволяет осуществить безопасное подключение удалённых пользователей, объектов, сетей.
Фильтрация нежелательных сайтов за счёт запрета доступа сотрудников к заданному списку веб-страниц. Позволяет работать с крупными базами URL-адресов, возможно разбиение их по типу контента. Возможно создание белых или чёрных списков для отдельных пользователей или серверов.
Проверка на вирусы происходит ещё до их попадания на жёсткий диск пользователя – на шлюзе безопасности. Обычно поддерживаются наиболее часто используемые протоколы POP3/IMAP4, FTP, HTTP, SMTP. Кроме этого, антивирус, как правило, способен осуществлять сканирование сжатых файлов.
Блокировка спама происходит на основе изучения репутации IP-адреса, с которого было получено сообщение, а также путём проверки полученного пакеты данных на соответствие с чёрным и белым списком. Для почты предусмотрен IPS, который защищает её от DDoS-атак, атак на переполнение буфера. Всё содержимое письма сканируется на наличие вредоносных кодов и программ.
Внедрён с целью повышения производительности межсетевого экрана, которая стала возможной благодаря увеличению пропускной способности и его разгрузки, равномерного распределения нагрузки на вычислительные ядра. Грамотное распределение трафика между резервными шлюзами позволяет достичь высокого уровня отказоустойчивости и перенаправления трафика в случае отказа из одного шлюза в другой.
Исследует текущую веб-сессию на предмет наличия вредоносного кода. Способен определить не только наличие, но и уровень опасности исполняемого кода, и блокировать вредоносный код до того, как он достигнет компьютера пользователя. Способен скрывать информацию о сервере в HTTP-ответе, предотвращая возможные сетевые атаки.
Ввиду всё большего числа сетевых атак и взломов серверов крупных компаний и корпораций стало очевидна необходимость внедрения UTM-шлюзов, способных отразить проникновения в систему вирусов и червей.
На сегодняшний день существует множество способов взлома слабо защищённых систем. Основными проблемами, с которыми сталкиваются современные компании, является отсутствие безопасности внутренних данных, а также несанкционированный доступ к информации собственных работников. Отсутствие защищённости данных становится результатом крупных денежных потерь. Тем не менее, лишь сравнительно недавно корпорации стали признавать необходимость контроля доступа к информации сотрудниками компании, пренебрежение же специализированных средств для защиты данных внутри сети приводит к разглашению и компрометации конфиденциальных данных.
Назначение UTM-решения заключается в предоставлении полного спектра приложений, необходимых для защиты данных от третьих лиц. Простые и удобные в использовании, UTM-системы постоянно развиваются, что позволяет им реагировать на всё более сложные сетевые атаки и своевременно их устранять.
UTM-решения имеет аналог в виде файервола следующего поколения, или NGFW (next generation firewall). По функционалу это устройство очень схоже с UTM, но разрабатывалось оно не для предприятий среднего бизнеса, как это было с Unified threat management, а для крупных компаний. Поначалу создатели NGFW пытались объединить в нём фильтрацию по портам и протоколам, обеспечивая функционал защиты сетевых атак и возможность анализа трафика на уровне приложений.
Согласно последним исследованиям рынка, в течение 2016-2020 годов рынок UTM возрастёт приблизительно на 15 процентов. Основные поставщики UTM-решений:
Отечественные разработчики UTM-решений:
Использование сетевых решений, направленных на выполнение только одной функции, перестало быть оправданным ввиду сложности в управлении и интегрировании их друг с другом и связанными с этим высокими временными и финансовыми ресурсами. Сегодня сетевая безопасность требует комплексного подхода, объединяя функционал систем, ранее работавших разрозненно. Это обеспечивает высокую производительность и оптимальное решение проблем в более короткие сроки – и с большей эффективностью.
Наличие одного UTM-решения вместо нескольких различных устройств упрощает управление стратегией сетевой безопасности компании. Настройка всех составляющих UTM-шлюза осуществляется из одной консоли – ранее для этого потребовалось бы несколько слоёв программного и аппаратного обеспечения.
На предприятиях, имеющих удалённые офисы и серверы, UTM-решения обеспечивают централизованное управление удалёнными сетями и их защиту.
Снижение числа используемых устройств;
Уменьшение объёма используемого софта и финансовых трат на его поддержку;
Лёгкое и понятное управление. Наличие различных настроек, веб-интерфейса и расширяемая архитектура;
Более быстрая обучаемость персонала за счёт использования лишь одного устройства.
UTM представляет собой решение с единой точкой отказа, но некоторые решения поддерживают кластеризацию;
Если UTM-система не поддерживает максимальную скорость передачи данных сети, возможно влияние на пропускную способность сети и время отклика.
