Устройствам для унифицированного управления защитой от угроз давно предсказывают большое будущее, однако данный сегмент рынка только сейчас входит в стадию зрелости. Системы безопасности, интегрирующие в одной платформе целый ряд функций, становятся востребованным продуктом.
«Унификация» захватывает самые разные области ИТ — от коммуникационных решений до средств обеспечения информационной безопасности (ИБ). На рынке межсетевых экранов (FW) и устройств VPN тоже происходит переход к унифицированному управлению угрозами и интегрированным решениям, объединяющим до десятка разных продуктов или функций. Термин «унифицированное управление защитой от угроз» (Unified Threat Management, UTM) появился в 2004 г. Его предложили аналитики IDC для описания брандмауэров c функциями фильтрации электронной почты, URL и содержимого Web, защиты от вредоносных и шпионских программ, обнаружения и/или предотвращения вторжений (IDS/IPS). Уже тогда на долю продуктов UTM от Fortinet, Symantec, Secure Computing, Crossbeam, Internet Security Systems (ISS), SonicWall, WatchGuard, Fortress Technologies и TippingPoint Technologies, сочетающих множество функций по более низкой цене, чем комплект из эквивалентных отдельных продуктов, приходилась весомая доля рынка систем ИБ.
Многие межсетевые экраны способны осуществлять глубокий анализ трафика вплоть до уровня приложений, что позволяет дополнить их функциями проверки на вирусы и обнаружения атак. Специализированные устройства UTM могут поддерживать SSL VPN, IPSec VPN и целый ряд других средств. На смену системам первого поколения пришли современные решения UTM с дополнительными функциями. Одна из них — усиление IDS возможностями предотвращения вторжений (Intrusion Detection and Prevention, IDP). Системы IDP не только обнаруживают их, но и автоматически применяют защитные меры. Кроме того, в них внедряются средства защиты удаленных подключений (проверка клиента на соответствие требованиям безопасности), контроля доступа, безопасной работы в Web, защиты от неизвестных угроз и атак «нулевого дня». По мнению Алексея Чередниченко, технического специалиста Symantec в России и СНГ, у систем UTM большое будущее, в том числе и в России. Они многофункциональны, высокопроизводительны, надежны, удобны в обслуживании, освобождают от излишних расходов на приобретение и эксплуатацию (за счет простого централизованного администрирования), а потому пользуются все большей популярностью.
Перед компаниями стоит сложная задача выбора продуктов ИБ и оценки их совместимости. Стоимость решений растет, а поддерживать адекватную квалификацию персонала для управления безопасностью становится все труднее. Применение разрозненных решений означает отдельную оценку и выбор продуктов, их закупку и обучение при усложнении обслуживания, причем самостоятельная интеграция «точечных» продуктов безопасности — процесс длительный и дорогостоящий. В UTM функции безопасности уже интегрированы, а услуги обучения и поддержки можно получить у одного поставщика. Заказчик избавлен от конфликтов антивирусного ПО (AV) с FW и IPS, а совместно функционирующие средства защиты повышают уровень безопасности и упрощают выявление источника атаки.
По данным IDC в 2006 г. на мировом рынке UTM наибольшего оборота добилась Fortinet, опередив SonicWall, Juniper, Cisco и Crossbeam, причем эта компания ежеквартально наращивает продажи своих систем старшего класса стоимостью до 250 тыс. долларов. Во II квартале 2006 г. лидером по продажам и обороту в сегменте UTM стоимостью от 50 тыс. долларов оказалась Crossbeam, хотя в IV квартале ее уже опережала Fortinet — по числу проданных систем стоимостью 50-100 тыс. долларов. Согласно информации Synergy Research, на мировом рынке гибридных аппаратных решений FW/VPN в III квартале 2006 г. лидировали Cisco, Juniper, SonicWall, Symantec и Nokia.
ПЕРЕОЦЕНКА ЦЕННОСТЕЙ
Аналитики ожидают стремительного роста мирового рынка UTM. Спрос подстегивает растущая потребность в удаленном доступе к корпоративным приложениям, увеличение количества и разнообразия угроз, снижение рисков и TCO, лучшая управляемость. Фактором роста становится необходимость приведения корпоративных систем ИБ и защиты информации в соответствие с нормативными требованиями. Немаловажна и внешняя простота UTM, поскольку в дополнение к новым угрозам наблюдается дефицит специалистов по безопасности.
В 2004 г. аналитики IDC рассматривали рынок UTM как самый быстрорастущий сектор специализированных решений для управления угрозами, ведь годом ранее оборот увеличился на 160% и достиг 100 млн долларов. Ожидалось, что к 2008 г. он составит 3,45 млрд долларов, опередив сегмент FW/VPN. Реальность оказалась куда скромнее — 700 млн долларов на конец 2006 г., а в отношении 2007 г. IDC прогнозирует 850 млн долларов. Однако именно в прошлом году в мире отмечено заметное увеличение спроса на UTM как в сегменте SMB, так и в крупных компаниях. По обновленным прогнозам к 2009 г. оборот рынка UTM увеличится до 2,4 млрд долларов при росте около 48% ежегодно. При этом на рынке традиционных систем FW/VPN ожидается ежегодный спад на 4,8%: к 2009 г. его объем уменьшится до 1,3 млрд долларов. Снижаются и темпы роста мирового рынка безопасности ИТ в целом: по данным Canalys, в 2004 г. они составляли 30%, в 2005-м — 20%, а в 2006-м — лишь 7,2%.
В ближайшие два-три года устройства UTM могут значительно потеснить автономные решения, однако потребность SMB, основного покупателя UTM, в подобном оборудовании может оказаться переоцененной, а расширение функциональности — привести к увеличению стоимости продуктов и потере их привлекательности для чувствительного к цене малого бизнеса. Тем не менее, этот сегмент становится все более насыщенным. Так, Check Point, вот уже 14 лет выпускающая системы FW/VPN, в прошлом году представила решения UTM, хотя продукт под названием Express CI (Content Inspection) с AV/IPS предлагался и ранее. Позднее было решено объединить семейства Express и Express CI в единый продукт UTM.
Symantec выпускала аппаратные шлюзы Symantec Gateway Security (SGS), объединяющие FW, AV и IPS, однако в сентябре 2006 г. для создания и продвижения совместных решений UTM и IPS она заключила соглашение с Juniper Networks. Компания продолжает поставки устройств другого класса: SMS 8300 для защиты почтового трафика от вирусов и спама и Security Information Manager (SSIM) для сбора и корреляции событий безопасности. В июле 2006 г. компанию WatchGuard купила Francisco Partners. В результате WatchGuard получила дополнительные инвестиции на разработку.
Между тем SonicWall, Tumbleweed и WatchGuard сообщали об убытках в последних кварталах, в отличие от Check Point, быстро наращивающей прибыль, и Cisco, предлагающей широчайший спектр продуктов ИБ. Выпуск Check Point оборудования UTM, соглашение Juniper и Symantec, Check Point и D-Link, продолжающаяся консолидация рынка UTM меняют уже сложившийся расклад сил. Рынок UTM пополнится новыми сильными игроками. Однако исследования Forrester показывают, что потребность в интегрированных устройствах снижается с ростом бизнеса, и UTM подходят не всем заказчикам. Как считают в «Лаборатории Касперского», унификация упрощает использование, но при этом уменьшается гибкость решения. В сложном окружении возникает потребность в нестандартных решениях и адаптации их для насущных задач. В такой ситуации удобнее многокомпонентные решения. В ZyXEL полагают, что неинтегрированные системы безопасности могут применяться, когда необходимо дополнить существующую ИБ, не внося изменений в топологию сети и управление ею.
Михаил Кондрашин, руководитель центра компетенций Trend Micro в России и СНГ, также считает, что решения класса UTM в первую очередь предназначены для SMB и удаленных филиалов крупных компаний. Отдельные продукты безопасности удобны, когда важна гибкость подхода. Основное преимущество UTM —снижение TCO. Причем в России они востребованы точно так же, как и во всем мире. При выборе шлюзов безопасности для компании или удаленного офиса всегда рассматриваются решения UTM.
РАЗНООБРАЗИЕ ВИДОВ
Линейки систем UTM многообразны: модели различаются как производительностью и функциональностью, так и исполнением. Устройства могут реализовываться на платформе сетевого шлюза, иногда они оснащаются жестким диском для установки ОС и/или дополнительных приложений безопасности (как в Astaro SG120). В некоторых случаях за основу берется обычный стоечный сервер с необходимым ПО, например, для своей системы Sidewinder G2 510D компания Secure Computing выбрала сервер Dell PowerEdge 750. У SonicWall продукты UTM пропускают трафик со скоростью от десятков мегабит в секунду до более 1 Гбит/c, у ZyXEL — от 50 до 300 Мбит/c (в режиме FW), а линейка Fortinet Forti-Gate поддерживает от 10 Мбит/с до 48 Гбит/с. Для сравнения: самая мощная модель Firebox X Peak в линейке WatchGuard обеспечивает пропускную способность межсетевого экрана до 1 Гбит/с, а в Cisco Adaptive Security Appliance (ASA) 5550 она достигает 1,2 Гбит/с.
В Fortinet считают, что компания смогла предложить технологию корпоративного уровня по цене решений для среднего бизнеса. В старшем сегменте с ней конкурирует Crossbeam Systems с оборудованием X-Series для защиты периметра, ядра сети и ЦОД. Предприятия могут использовать системы X-Series для консолидации оборудования ИБ и быстрого реагирования на меняющиеся требования в отношении безопасности, а провайдеры — для предоставления клиентам услуг VPN, FW и IPS. По мнению специалистов «Лаборатории Касперского», отдавать фильтрацию трафика на аутсорсинг выгодно небольшим компаниям, а также организациям, не желающим увеличивать штат специалистов ИТ и расходовать средства на дополнительное оборудование и антивирусное ПО.
Crossbeam давно сотрудничает с Check Point, Trend Micro, Aladdin и Enterasys, а в числе ее новых партнеров — ISS, Forum Systems, Imperva, Sourcefire и Websense, что позволяет предложить широкий выбор продуктов ИБ. Juniper Networks действует более избирательно. Павел Ковалев, руководитель направления информационной безопасности Netwell, считает, что продукты Juniper интегрируют лучшие антивирусные решения — фильтрацию URL от SurfControl, антиспам от Symantec, а также собственную систему IPS (Deep Inspection). Подобная кооперация характерна для UTM. Продукты «Лаборатории Касперского» применяются в десятках шлюзов Internet, FW и UTM. В их числе — известные в России решения ZyXEL, Clearswift, Microsoft, GFI, UserGate, Communigate Pro, WinGate и предлагаемые за рубежом системы Blue Coat, Borderware, NetAsq, F-Secure, Critical Path, Sonicwall и др. Кроме того, ведутся переговоры по использованию ядра «Антивируса Касперского» в продуктах UTM-1 и VPN-1 UTM от Check Point и Juniper SSG 500.
«Универсальные» системы упрощают управление безопасностью, но налагают ограничения на пропускную способность, поскольку выполняют глубокий анализ трафика. Потери производительности в UTM достигают 50%, однако ряд вендоров заявляют о решении этой задачи. По словам Алексея Лукацкого, бизнес-консультанта Cisco Systems по безопасности, Cisco производит сетевое оборудование, которое в состоянии обеспечить пропускную способность до десятков терабит в секунду даже с учетом многочисленных проверок трафика и его интеллектуальной маршрутизации (например, в CRS-1). Накопленный опыт и знания с успехом применяются при создании платформ безопасности, для которых соблюдаются такие же требования по производительности, надежности, отказоустойчивости, как в других решениях, поэтому ощутимого снижения производительности в устройствах Cisco ASA не наблюдается. В противном случае ряд критичных к задержкам приложений (IP-телефония, видеоконференц-связь) невозможно было бы реализовать защищенным образом.
По мнению Антона Разумова, коссультанта Check Point в России и СНГ, в UTM от Check Point наибольшие потери производительности вносят интеллектуальные технологии — Malicious Code Protector (5-7%) и Error Concealment, применение которых минимизирует вероятность атак даже в случае опасной уязвимости на сайте. Malicious Code Protector пытается дизассемблировать потенциально опасные места протоколов и, если это фрагмент кода, оценить соответствие его поведения вредоносным программам. Однако подобные технологии уникальны для каждого вендора и не характерны для всех UTM.
Один из вариантов решения проблемы производительности — применение внешних антивирусных серверов или систем фильтрации почты, в том числе с резервированием и балансировкой нагрузки, или объединение устройств в кластер. Иногда предлагаются опции «ускорения» UTM. Например, в слот PC Card устройств ZyWALL 5/35/70W от ZyXEL можно установить карту ZyWALL Turbo Card для аппаратного ускорения работы IDP/AV и активации этих функций. По данным производителя, в результате применения микросхем SecuASIC обработка трафика на седьмом уровне выполняется в 20 раз быстрее. В продукты ZyXEL интегрирована технология потокового сканирования трафика HTTP/FTP/SMTP «Лаборатории Касперского» (SafeStream), а в Cisco ASA используется модуль потокового сканирования основных протоколов от Trend Micro. В отличие от подходов, предусматривающих «сборку» объекта для его сканирования, такие решения работают на уровне пакетов IP и обеспечивают высокую скорость. В Trend Micro отмечают, что ее технология IntelliTrap способна обнаруживать вредоносный код, закодированный или запакованный различными методами, неизвестными антивирусным аналитикам. Кроме того, Check Point предлагает специальные ускорители — карты PCI.
В линейках продуктов вендоров присутствуют как минимум две-три модели UTM с разной производительностью, рассчитанные на поддержку разного числа пользователей. Например, ISS Proventia MX 1004 предназначена для 100 пользователей, MX 3006 — для 250, а MX 5010 — для 500. ZyXEL предлагает модели ZyWALL младшего класса на 10, 30 и 100 пользователей. ZyXEL ZyWALL 1050 (до 500 пользователей) позволяет конфигурировать порты для различных задач, в частности, для создания демилитаризованной зоны (DMZ). Шлюзы безопасности оснащаются гигабитными портами Ethernet (SonicWall PRO 4100 имеет даже порты 10 GbE), иногда — встроенным модемом ADSL или коммутируемым модемом для резервирования связи. Например, Check Point VPN-1 UTM Edge содержит модем ADSL2/2+ и порт WAN Ethernet. Модели для малых офисов дополняются встроенной точкой доступа WLAN. Secure Computing выпускает для SMB семь моделей UTM серии SnapGear, которые устанавливаются так же, как автономный FW, шлюз VPN или устройство UTM. В офисах с двумя-тремя рабочими станциями можно применять устройства SG635 в форм-факторе платы PCI производства Secure Computing.
Шлюзы Juniper SSG 5 рассчитаны на малый бизнес, а системы Juniper Internet Security Gateway (ISG) 2000, адресованные крупным компаниям могут развертываться как FW/VPN, FW/VPN/IDP или IDP для защиты периметра от атак на уровне приложений и сетевом уровне, защиты внутренней сети от атак типа DoS и распространения «червей», а также защитной сегментации сети. Нередко зонам безопасности соответствует различная политика безопасности. Модель Cisco ASA 5550 для защиты крупных корпоративных сетей поддерживает до 200 VLAN, что позволяет разделить сеть на множество зон и повысить уровень защиты. Cisco, Juniper и ряд других вендоров применяют «виртуальные FW» для реализации на одной платформе различных политик безопасности для разных групп пользователей. Устройство ZyXEL ZyWALL 1050 поддерживает множество топологий VLAN, включая объединение в зоны с едиными политиками безопасности, и предусматривает управление политиками на уровне пользователей, групп, VLAN, по времени доступа и другим параметрам.
Решения UTM существенно различаются и уровнем интеграции встроенных подсистем безопасности, особенно, когда в них включены продукты разных производителей. Недостаточно глубокая интеграция повышает требования к аппаратной платформе и вычислительным ресурсам, поэтому система становится дороже, а один и тот же трафик подвергается многократным проверкам, снижающим пропускную способность. Кроме того, если функционирующие на одной платформе системы безопасности объединены лишь единой системой управления и мониторинга, это не усиливает общую безопасность. По словам Алексея Чередниченко, перегруженное функциональностью устройство может хуже выполнять свои функции, чем совокупность отдельных компонентов, однако разработчики стараются оптимизировать работу подсистем безопасности. В итоге достоинств у интегрированного решения оказывается значительно больше, чем недостатков.
Маркус Рэнум, ведущий мировой эксперт по ИБ и изобретатель коммерческого межсетевого экрана, отмечает тенденцию повышения уровня интеграции различных систем ИБ по мере их усложнения, но выделяет следующий аспект комплексных решений: заказчики, покупающие UTM с десятком или более функций, будут использовать лишь несколько возможностей, а платить обычно приходится за все. Он считает, что системы класса UTM нужны далеко не всем заказчикам. Кроме того, упрощение управления за счет автоматизации чревато повышенным влиянием человеческого фактора на UTM — критичный для работы сети узел. Кроме технологической точки отказа есть еще одно уязвимое звено — это оператор, способный «одной кнопкой» вывести из строя систему ИБ.
С другой стороны, как отмечает Антон Разумов, основные проблемы возникают из-за ошибок в конфигурации, что усугубляется в случае множества разрозненных устройств. Поэтому централизованное управление «объединенным» устройством имеет существенные преимущества. Очевидно, наряду с наращиванием функций производители будут искать некий компромисс между простотой приобретения и возможностью активировать (и оплачивать) действительно необходимые функции (без прерывания связи или установки дополнительного оборудования).
Однако не все готовы «класть все яйца в одну корзину» — некоторые предпочитают раздельные системы безопасности, считая такой подход более надежным. Для повышения отказоустойчивости, поставщики UTM рекомендуют применять резервирование. Например, Check Point VPN-1 UTM предусматривает объединение шлюзов в кластер. Если первичный шлюз недоступен, то соединения переводятся на остальные узлы кластера с сохранением связи. Кроме того, при добавлении узлов производительность растет почти линейно. Для повышения скорости и масштабируемости дополнительный модуль ClusterXL распределяет трафик в рамках кластера. В шлюзах Panda GateDefender информация многократно дублируется, они способны к самовосстановлению с сохранением настроек системы. Для повышения надежности и распределения нагрузки можно установить кластер GateDefender Performa.
Cisco ASA 5000 предусматривает конфигурации «активный/резервный» и «активный/активный»; в кластер с балансировкой нагрузки включается до 10 устройств Cisco ASA 5550, и тем самым обслуживается до 50 тыс. пользователей IPSec и SSL VPN. ZyXEL для предотвращения перегрузки или отказа канала предлагает в ZyWALL средства распределения нагрузки, позволяющие задействовать дополнительные порты для увеличения пропускной способности и резервирования доступа в Internet. В ZyWALL 1050 также реализованы схемы работы «активный/резервный» и «активный/активный» (протокол VRRP), а во всей линейке ZyWALL — резервирование канала VPN. В оборудовании WatchGuard Firebox X помимо распределения и балансировки нагрузки предусмотрено резервирование соединения с провайдером без потери соединений VPN при отказе основного канала.
WatchGuard Firebox X позволяет создавать кластеры для обеспечения балансировки нагрузки и бесперебойной работы системы, а также позволяет резервировать соединение с провайдером в «горячем» режиме, поддерживая постоянную связь без потери соединений VPN при отказе основного канала и/или балансируя нагрузку.Аналитики IT Harvest делят системы UTM на три категории. Устройства первого типа проверяют пакеты и пропускают их через несколько фильтров (Fortinet, Juniper и Cisco), другой вид оборудования анализирует и отсеивает пакеты на одном устройстве (WatchGuard и SonicWall), а третья категория представляет аппаратные платформы безопасности, на которых работает ПО независимых производителей (Nokia и Crossbeam). Однако эта классификация весьма условна.
В UTM от WatchGuard применяется архитектура Intelligent Layered Security (ILS), предусматривающая шесть уровней защиты: внешние службы безопасности (например, антивирусы на ПК), проверка целостности данных, VPN, межсетевой экран с динамическим анализом состояния, глубоким анализом приложений и проверкой содержимого (AV, фильтрация URL, антиспам, защита от шпионского ПО и IPS). Firebox X может работать как сервер аутентификации, поддерживать сертификаты IKE стороннего производителя, маршрутизировать трафик на основе политик безопасности, осуществлять управление пропускной способности и QoS. На его основе можно создавать VLAN. Администрирование распределенных сетей упрощает централизованное управление Firebox X Сore и Peak. Мощные системы Fortinet FortiGate объединяют FW, AV, VPN, IPS, антиспам, фильтрацию содержимого Web и средства формирования трафика, причем они могут работать по отдельности. В ZyWALL UTM от ZyXEL объединены девять различных функций: FW, AV, фильтрация содержимого, антиспам, IDS/IPS, VPN, распределение нагрузки, управление распределением пропускной способности, учет трафика пользователей и управление приложениями (Application Patrol).
Для более эффективной защиты от сложных угроз многоуровневая система безопасности обычно взаимодействует с решениями, основанными на сигнатурах (AV/IPS) и другими службами (фильтрация Web и почты). В «Лаборатории Касперского» считают, что применение антивируса на шлюзе (с защитой трафика электронной почты и Internet) не исключает его использование на рабочих станциях, наоборот, он становится эффективным дополнением. Еще лучше, когда инсталлируются продукты разных производителей. ZyXEL также рекомендует UTM в качестве первого рубежа защиты, которая будет усилена надежной системой обнаружения вирусов на ПК. Константин Архипов, директор Panda Software Russia полагает, что каждое предприятие должно самостоятельно принимать решение об установке дополнительной защиты на рабочих станциях, ведь корпоративную сеть требуется защищать не только от угроз из Internet.
Как отмечают в Rainbow Tech-nologies (официальный партнер WatchGuard Technologies), в UTM комбинирование сигнатурного анализа с другими методами повышает надежность защиты за счет устранения «окна уязвимости» (интервала между обнаружением угрозы и выпуском сигнатуры для нее). В устройствах WatchGuard многоуровневая защита предполагает обмен информацией между различными модулями, выявляющими аномалии в трафике, анализирующими поведение его источника и сканирующими файлы. В результате подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается в сеть, причем выполняются только те проверки, которые необходимы с точки зрения общей безопасности.
Пропуск через шлюз трафика VoIP означает, что устройству придется обрабатывать большое количество мелких пакетов. Fortinet работает над технологией ускорения проверки VoIP на возможную инъекцию вирусов с сохранением качества сервиса. Она будет доступна к концу года. Подобный анализ выполняется в Cisco ASA. В планах Secure Compu-ting — добавление в UTM поддержки SIP. Это устройство с функциями посредника SIP позволит назначать политики VoIP для различных групп и доставлять пользователям «чистый» трафик VoIP. Шлюзы Juniper ISG, комбинирующие FW (с функциями маршрутизации) и IDP, производят интеллектуальный отбор трафика для обработки в IDP. Например, сигнальные протоколы VoIP (H.323, SIP) передаются IDP для выявления возможных атак, а содержимое трафика VoIP пропускается только через FW, что повышает производительность и снижает задержки.
По словам Антона Разумова, протокол VoIP труден для FW, поскольку сигнализация и данные могут передаваться разными путями, а решение о том, какие IP-адреса и порты будут задействованы, принимается в момент установления связи. В продуктах Check Point выполняется детальный анализ протоколов, а нужные порты открываются только на время сеанса. Cisco ASA для протокола SRTP (трафик голоса и видео) также динамически открывает порты при установлении соединения на время сеанса. В решениях Cisco реализовано несколько различных алгоритмов обнаружения атак на инфраструктуру IP-телефонии, включая проверку длины и формата параметров VoIP, сигнатуры известных атак и т.д.
РАСШИРЕНИЕ ЛИНЕЕК И ФУНКЦИЙ
В 2006-2007 гг. на рынке UTM наблюдалось заметное оживление. В январе анонсирован программно-аппаратный комплекс Check Point UTM-1. Ранее компания предлагала только программные средства UTM в таких продуктах, как VPN-1. Линейки продуктов UTM от Check Point включают в себя системы защиты периметра сети UTM-1, VPN-1 UTM, VPN-1 UTM Edge и Safe@Office. Последние две нацелены на удаленные офисы и небольшие компании, а выпущенная год назад линейка VPN-1 UTM масштабируется для компаний любого размера. Версия UTM Power предназначена для защиты центрального офиса, где требуется наивысшая производительность.
Серия продуктов UTM-1 предлагает функции FW, IPS, AV (например, в UTM Edge используется антивирус CLAM AV), защиты от шпионских программ, безопасности приложений VoIP, IM и P2P, фильтрации Web, защиты удаленных подключений. Линейка UTM-1 включает модели UTM-1 450, UTM-1 1050 и UTM-1 2050 с пропускной способностью FW до 2 Гбит/с и VPN до 400 Мбит/с (см. Рисунок 2). Старшая модель поддерживает до 1000 пользователей. Стоимость устройств составляет от 7,5 до 15 тыс. долларов. VPN-1 UTM Edge предусматривает версии с поддержкой WLAN, модемом ADSL, имеет расширенные функции централизованного управления через SMP, SmartCenter, Large Scale Manager или Provider-1.
Среди достоинств линейки — наряду с удобным централизованным управлением, встроенными средствами мониторинга и высоким уровнем безопасности — Антон Разумов выделяет интеграцию множества решений в одном продукте. Они включают поддержку удаленного доступа через SSL VPN и IPSec VPN, средства борьбы с вредоносными и шпионским программами, а также защиту от спама, которая разработана партнерами Check Point по альянсу OPSEC. Заказчики могут выбирать наиболее подходящий продукт и задавать настройки фильтрации спама. Повышенное внимание уделяется анализу протоколов. VPN-1 UTM обеспечивает анализ более 150 предопределенных приложений, служб и протоколов.
В UTM-1 и VPN-1 UTM установленный на шлюзе антивирус работает в сочетании с Check Point SmartDefense — опробованным в системах Firewall-1 механизмом защиты от известных и неизвестных атак на сетевом и уровне и на уровне приложений. Антивирусной проверке подвергается трафик электронной почты (SMTP и POP3), Web (HTTP) и FTP. SmartDefense автоматически обновляет средства защиты, правила и другие элементы системы безопасности. В крупной сети обновления могут рассылаться с центрального сервера, или же каждый шлюз VPN-1 UTM обновляется независимо. SmartDefense позволяет без прерывания связи добавлять новые виды проверок, в том числе для новых протоколов. Если ранее продукты компании позволяли лишь блокировать трафик IM на определенных стандартных портах, то теперь даже для такого сложного протокола, как MSN over SIP можно разрешить, например, обмен текстовыми сообщениями, но запретить передачу файлов, аудио и видео, а также совместное использование «рабочего стола».
По словам Антона Разумова, востребованными оказались также развитые механизмы создания резервных копий (Double Safe Upgrade). Один из них, например, позволяет проводить обновления системного и прикладного ПО в удаленных подразделениях. Предварительно на удаленном шлюзе автоматически создается «снимок» рабочей конфигурации, а администратор в течение определенного времени должен к нему подключиться. Если по каким-то причинам это не удалось, шлюз самостоятельно вернется к предыдущему рабочему состоянию. Такие функции не свойственны UTM, но показывают возможные варианты расширения их функциональности. Заказчики, нуждающиеся в сильной аутентификации, могут использовать сертификаты Check Point One-Click Certificates (вместо более сложной и дорогой инфраструктуры PKI). В новой версии Cisco ASA также предусмотрен встроенный удостоверяющий центр.
В Check Point VPN-1 UTM и UTM-1 применяется одна и та же версия ПО, однако UTM лицензируется по количеству защищаемых IP-адресов. В UTM-1 такого ограничения нет — модель выбирается, исходя из производительности. Кроме того, в программно-аппаратное решение входит ряд дополнительных возможностей, которые для программного решения приобретаются отдельно. Check Point VPN-1 UTM предлагает поддержку VPN (SSL и IPSec) с широким спектром клиентов VPN. UTM/UTM-1 предусматривают базовые функции защиты Web, включая ограничение размера заголовков, ограничение URL по длине и набору символов. Если требуется дополнительная защита серверов Web, например, от внедрения команд SQL, сценариев, переполнения буфера, вредоносных исполняемых файлов и других распространенных методов взлома, можно активировать дополнительную лицензию и сконфигурировать настройки (без прерывания сервиса). Компания намерена добиваться уменьшения сложности и увеличения масштабируемости решений безопасности, обеспечения защиты сети на всех уровнях (см. Рисунок 3).
Линейка ZyWALL UTM от ZyXEL (см. Рисунок 4) появилась полтора года назад, когда межсетевые экраны ZyWALL с поддержкой IPSec VPN были дополнены функциями управления пропускной способностью приложений, фильтрации содержимого (по ключевым словам и категориям сайтов), IDS/IPS и антиспама, интегрированными (на уровне ОС ZyNOS и набора микросхем) средствами потокового антивирусного анализа трафика с помощью алгоритмов «Антивируса Касперского». Сегодня кроме бюджетных моделей ZyWALL 5 UTM (для сегмента SOHO), ZyWALL 35 UTM (для малого бизнеса и удаленных филиалов) и ZyWALL 70W UTM (для средних компаний) предлагается ZyWALL 1050 (см. Рисунок 5) — межсетевой экран высокой готовности, решающий комплекс задач сетевой безопасности, среди которых — защита от вирусов, предотвращение вторжений и создание VPN (IPSec и SSL). Он поддерживает до 1000 туннелей VPN и пригоден для разных сетевых топологий, в том числе как концентратор VPN. Два специализированных процессора для шифрования трафика, защиты от вирусов и предотвращения вторжений (IDP с анализом трафика различных протоколов, включая VoIP) позволяют ему работать на скорости 100 Мбит/с. VLAN и «зоны обслуживания» облегчают настройку доступа в крупных сетях с разветвленной структурой и фильтрацию содержимого (не оставляя без внимания IM). В числе других возможностей — поддержка приложений VoIP (SIP/H.323) на уровне FW и NAT, передача трафика VoIP в туннелях VPN, централизованное управление и мониторинг средствами Vantage CNM 2.3 и Vantage Report 3.0, оповещение о событиях.
В ближайшей перспективе ZyXEL будет придерживаться концепции UTM, пополняя линейку ZyWALL. В компании отмечают, что направление ее развития определяется потребностями рынка, которому нужны устройства, совмещающие высокоскоростной доступ с удобством настройки и высоким уровнем безопасности.
Шлюзы GateDefender (антивирусные серверы с глубоким анализом пакетов и технологией TruPrevent) от Panda Software (модели 8050, 8100, 8200) тоже давно известны на рынке, но в прошлом году они были разделены на две линейки — Performa и Integra (см. Рисунок 6). Эти аппаратные решения реализованы на платформе Linux. Performa — шлюз, работающий в режиме прозрачного посредника и блокирующий вредоносный трафик из Internet, как пояснил Константин Архипов. Integra дополняет эти функции FW, VPN и IPS.
В середине прошлого года Rainbow Technologies, дистрибьютор WatchGuard, начала поставки новой серии устройств UTM — WatchGuard Firebox e-Series. Набор средств безопасности WatchGuard включает в себя AV и IPS, фильтрацию URL, систему противодействия шпионским программам и антиспам. Производитель усовершенствовал аппаратные платформы Firebox X Edge (для малого бизнеса), Firebox X Core (для среднего) и Firebox X Peak (для крупных компаний), а также ПО. Выпущенная в апреле 2007 г. ОС Fireware 9.0 расширила функциональность устройств Firebox X Core (см. Рисунок 7) и Peak. Все функции интегрированы с управляющим ПО, включая простое создание туннелей VPN и кластеров, маршрутизацию трафика на основе политик безопасности, VLAN, QoS, поддержку нескольких провайдеров, балансировку нагрузки. Старшая модель Firebox X Peak e-Series оснащается восемью гигабитными портами Ethernet, оптическими интерфейсами и используется главным образом в разветвленных сетях. Пропускная способность увеличена до 2 Гбит/с для FW и 600 Мбит/c для VPN. Многоуровневая система безопасности позволяет отразить неизвестные атаки без использования сигнатур. Служба LiveSecurity предоставляет пользователю обновления, техническую поддержку и экспертные рассылки, информирующие о способах предотвращения новых угроз.
После приобретения в 2006 г. компании ISS устройства безопасности «все в одном» появились и в спектре продуктов IBM. Это линейка оборудования Proventia MX (MX5010, MX3006, MX1004), объединяющих IDS/IPS, FW, AV (с сигнатурным и поведенческим анализом), антиспам, фильтр Web и VPN. Среди интересных технологий — модуль Protocol Analysis Module (PAM), использующий, по данным ISS, множество методов анализа и имеющий высокую точность; система Virus Prevention System (VPS), анализирующая вирусы по поведению; эвристические технологии поиска вирусов в файлах. IBM рассматривает продукты ISS как часть полной линейки средств ИБ предприятия. В ноябре прошлого года компания завершила интеграцию в свой клиентский продукт Proventia Desktop Endpoint Security технологий BitDefender. Технология VPS, позволяющая выявить до 90% неизвестных вирусов, дополнена сигнатурным антивирусом от BitDefender.
IBM ISS намерена активно развивать продукты защиты сетей и анализа трафика на высоких скоростях. В планах — выпуск моделей, где скорость составляет 5 и 10 Гбит/c, более тесная интеграция с системой Tivoli для настройки правил безопасности, конфигурации, оценки уязвимостей, управления ИБ, обновления ПО и вывода отчетов. Tivoli Security Operations Manager уже интегрирован с продуктами ISS. Кроме того, в IBM считают, что заказчикам удастся существенно сэкономить — до 39-54% затрат, если они воспользуются услугами внешнего подрядчика по управлению безопасностью. В частности, возможность внешнего управления предусматривается в платформе MX1004/3006/5010.
В 2006 г. Juniper Networks интегрировала в свои продукты технологии NetScreen. Год назад Juniper представила линейку Secure Services Gateway (SSG 520 и 550) для региональных офисов, отделений компаний и ЦОД. SSG заменяет маршрутизаторы глобальной сети и FW, причем, как утверждают в Juniper, она превосходит конкурирующие продукты по функциям безопасности и производительности маршрутизации. Система SSG 550 наряду с IPS и фильтрацией Web от SurfControl дополнена антиспамом Symantec Brightmail, поддерживает до 128 тыс. пользовательских сеансов, а по функциональности и производительности, как считают в Netwell, она даже несколько превосходит комбинацию Cisco ASA и Cisco ISR (например, позволяет одновременно использовать антивирусный сканер и IPS).
Осенью 2006 г. Juniper представила девять новых моделей шлюзов SSG (см. Рисунок 8), построенных на трех основных шасси — SSG 5, SSG 20 и SSG 140. Модель SSG 5 имеет FW с пропускной способностью 160 Мбит/c и VPN на 40 Мбит/с и рассчитана на небольшие офисы. Дополнительные лицензии позволяют расширить функции антивирусом, антиспамом, IPS и фильтрацией содержимого Web. SSG 140 имеет FW с производительностью 350 Мбит/c и VPN на 100 Мбит/с. В прежних, более мощных и дорогих версиях SSG эти показатели составляют 1 Гбит/с и 500 Мбит/c. Спектр продуктов Juniper охватывает сейчас модели UTM стоимостью 700-32000 долларов.
Не могла оставить без внимания рынок UTM и Cisco Systems. Продукт Cisco ASA (см. Рисунок 9) представляет собой классическое устройство UTM, объединяющее технологии сетевой безопасности Cisco с антивирусными фильтрами Trend Micro. Компания разработала широкий спектр оборудования ASA — от устройств для небольших офисов до маршрутизаторов, применяемых в крупной корпоративной сети или в сети оператора связи. Многофункциональный программно-аппаратный комплекс Cisco ASA 5500 предназначен для разграничения доступа к сетевым ресурсам, отражения атак, защиты взаимодействия с удаленными офисами, блокирования вредоносных программ, спама и фишинга. Устройство объединяет межсетевой экран Cisco PIX, систему предотвращения атак Cisco IPS (с несигнатурными механизмами выявления аномалий в версии 6.0 и патентованными функциями с динамическим обучением) и Cisco VPN 3000 Concentrator.
В линейку Cisco ASA входят пять моделей: 5505, 5510, 5520, 5540 и 5550. В ближайшее время она пополнится еще более мощным устройством. Cisco ASA 5550 (1,2 Гбит/c) поддерживает 5000 клиентов IPSec и SSL VPN. В прошлом году линейка ASA 5000 была дополнена межсетевым экраном, работающим на уровне приложений, и средствами интегрированного контроля доступа (NAC). Такой FW повышает уровень защиты приложений Web, электронной почты, приложений VoIP, IM, услуг передачи файлов и сетевых протоколов Microsoft. Поддержка решений Cisco NAC позволяет определить права пользователей и устройств на доступ к сетевым ресурсам по каналам IPSec и SSL VPN (клиент SSL и IPSec VPN объединен в одном продукте). Управление осуществляется с помощью Cisco Adaptive Security Device Manager.
В феврале компания выпустила новое ПО ASA 8.0. В него входит клиент VPN AnyConnect для соединений VPN (IPSec и SSL), который можно загружать из сети при подключении; ПО Cisco Secure Desktop для защиты транзакций; проверка на соответствие политики безопасности зашифрованного трафика голоса и видео с помощью протокола SRTP; встроенный удостоверяющий центр; пользовательский портал для защищенного доступа к корпоративным ресурсам по протоколам HTTP, FTP, telnet, SSH, RDP, VNC; расширенные механизмы авторизации пользователей за счет интеграции с Active Directory/LDAP, поддержка Cisco IPS 6.0 и ряд других функций. Стратегия Cisco предусматривает унификацию систем безопасности, автоматизацию операций, превращение безопасности в свойство сети (Self-Defending Network, SDN), где от периметра до ядра сети применяются общие механизмы борьбы с угрозами. Системы безопасности становятся интегрированной частью инфраструктуры.
Эту идею разделяют и в HP ProCurve Networking. В ее арсенале пока нет продуктов UTM, однако для защиты сети она использует интеллектуальные граничные коммутаторы (концепция Adaptive Edge), а анонсированный в апреле 2007 г. продукт Network Immunity (NI) в отличие от прежних механизмов HP ProCurve Virus Throttling, функционирующих на отдельных коммутаторах, с помощью протокола sFlow осуществляет поведенческий анализ всей сети. В сочетании с защитой доступа (Access Control Solution) такое решение нацелено на комплексную защиту сети от различных угроз. Приложение управления безопасностью ProCurve Network Immunity Manager обеспечивает интеллектуальное управление угрозами и помогает защититься от вирусных атак. В третьем квартале ProCurve планирует также выпустить ProCurve Network Access Controller 800 — простое в использовании приложение для защиты в конечных точках, дополняющее средства контроля доступа.
Независимая организация NSS Group в прошлом году начала тестирование устройств UTM. Пока что его прошло оборудование Fortinet и ISS, получив значок NSS Approved. Осенью тестирование будет продолжено. NSS проводит испытания, приближенные к реальным, и ее оценка важна для любого вендора. В Cisco отмечают, что в NSS тестировались и ее системы предотвращения атак, и другие системы защиты. В ближайшем будущем планируется тестирование Cisco ASA, тем более что отдельные его компоненты уже прошли этот путь.
В России некоторые поставщики сертифицирует межсетевые экраны на соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». Так, в апреле Rainbow Technologies получила сертификат ФСТЭК России по третьему классу для межсетевых экранов для новой линейки устройств UTM Firebox X e-Series (модели Core и Peak) с ПО Fireware Pro. Решения Cisco ASA (5510, 5520 и 5540) также имеют сертификат ФСТЭК на соответствие требованиям РД по межсетевым экранам. Входящие в их состав FW и IPS сертифицированы на соответствие ГОСТ Р ИСО/МЭК 15408. Роль таких сертификатов будет только возрастать, а для использования в госструктурах сертификат является просто обязательным, считает Алексей Лукацкий.
ЗАКЛЮЧЕНИЕ
Создание законченных многофункциональных устройств стало общемировой тенденцией. Устройства UTM, объединяющие 5-8 функций, дополняются расширенными возможностями, включая контроль подключений клиентов и защиту удаленного доступа, оснащаются встроенными модулям WLAN, технологиями выявления вредоносных программ и расширенной поддержкой протоколов, более тесно интегрируются с общей системой ИБ предприятия, при этом много внимание уделяется удобству управления. Как считает Антон Разумов, устройства UTM обеспечивают безопасность именно там, где это необходимо, предлагают широкий выбор интегрированных функций, позволяя избежать приобретения и внедрения дополнительных устройств, и существенно снижают TCO, упрощая работу администраторов. Недостаток данного подхода — меньшая гибкость выбора, что, впрочем, не мешает приобретать дополнительные традиционные решения. По мнению Алексея Лукацкого, потребители нуждаются в решениях, включающее пять систем защиты (FW, IPS, AV, IPSec VPN и SSL VPN) по цене одной, поэтому спрос на UTM будет расти во всех сегментах, а для SMB альтернативы просто нет. Да и крупные предприятия будут оснащать такими устройствами свои удаленные площадки.
Александр Дюжев, начальник отдела телекоммуникаций «Черус», также отмечает востребованность подобных решений на российском рынке, их экономические и функциональные преимущества. К их достоинствам он относит возможность расширения функций за счет обновления ПО и аппаратных модулей, унификацию платформы безопасности, упрощение эксплуатации за счет единой системы управления и мониторинга. Кроме того, интеграция ускоряет поиск неисправностей и их устранение. Заказчик может подстраивать такие продукты под свои потребности. В «Черус» считают, что такие решения интересны прежде всего для SMB, да и для крупных компаний становятся одним из компонентов многоуровневой системы ИБ.
Анализ продаж подтверждает правильность концепции UTM, считают в ZyXEL, отмечая, что заказчики, как в сегменте SMB, так и крупных компаниях предпочитают приобретать интегрированные решения защиты сети, однако большая часть продаж UTM производства ZyXEL приходится на SMB. Среди недавних крупных проектов — организация защиты сети офисов «МосЭнерго» и региональных представительств канала ТВ3.
Руслан Чиняков, директор OCS по развитию бизнеса ILM, полагает, что в решениях UTM заинтересованы главным образом крупные организации, в первую очередь финансовые учреждения и страховые компании, где потенциальный ущерб от различных атак высок и нужен постоянный выход в Internet. Чтобы решение было востребованным, оборудование должно дополняться управляющим ПО, сервисом и обновлением компонентов, обучением партнеров и пользователей. Он считает, что крупные вендоры, например Cisco, имеют преимущество в том, что предлагают наиболее широкие по функциональности линейки продуктов, и все звенья цепочки, включая обучение и локальную поддержку, реально работают.
Несмотря на обилие решений UTM, представленных в различных сегментах рынка, для корпоративных клиентов приоритетными остаются разработки, имеющие успешную историю внедрения в России. Такими в настоящий момент являются продукты от компаний CheckPoint и Cisco, считают в Jet Infosystems. Расширение функциональности устройств этими производителям позволяют им лидировать в корпоративном сегменте рынка. «Темной лошадкой» для России, несмотря на высокий уровень продаж в других странах, остается Crossbeam, интегрирующая на своей платформе решения ИБ от ведущих вендоров. Для сегмента SMB в России определяющим фактором остается стоимость продукта, поэтому явных лидеров здесь выделить сложно.
Тенденция интеграции средств безопасности охватывает и сетевое оборудование, это видно на примере коммутаторов и маршрутизаторов Cisco, HP и ряда других вендоров. Маршрутизатор Cisco ISR уже сейчас является устройством UTM, считает Алексей Лукацкий. В него встроен FW, IPS, VPN и даже контроль содержимого. Однако функции безопасности для таких устройств вторичны. Как только процессор и память сетевого оборудования позволят реализовать эффективную защиту без снижения производительности, это будет сделано. UTM, как и отдельные средства защиты, останутся там, где они нужны — в критичных сегментах бизнеса, в организациях с высокими требованиями к безопасности (где эта служба должна быть отделена от сети), а также и заказчиков с раздельной организационной структурой ИТ и ИБ.
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru