Обзор корпоративных UTM-решений на российском рынке

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

 

1. Введение

2. Что такое универсальные шлюзы безопасности (UTM)?

3. UTM в мире

4. UTM в России

5. Выводы

 

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

 

Что такое универсальные шлюзы безопасности (UTM)?

Аналитическое агентство IDC подразумевает под универсальным шлюзом безопасности (Unified Threat Management,UTM), такое устройство, которое имеет  следующий минимальный набор функций:

• Межсетевой экран;
• Система обнаружения и защиты от вторжений (IDS/IPS);
• Virtual Private Network (VPN);
• Антивирус.

По мнению Gartner UTM-система должна обеспечивать:

• Стандартные функции межсетевого экранирования с контролем состояний сетевых соединений;
• Возможность организации удалённого доступа с использованием VPN;
• Функциональность Web-шлюза безопасности с проверками на наличие вредоносного трафика, URL-фильтрацией и контролем приложений;
• Предотвращение сетевых вторжений.

Однако становление современных UTM-систем происходило не сразу.

Исторически первыми решениями, вставшими на страже сетевой безопасности, были межсетевые экраны. Со временем, вместе с ростом потребностей бизнеса в защищённом удалённом доступе, к ним добавились технологии виртуальных частных сетей (VPN). В то же время, вместе с популярностью сетевых технологий активизировался рост хакерских атак, что катализировало разработку IDS/IPS-систем, о которых мы рассказывали в прошлый раз. Параллельно с этими решениями на защиту периметра сети вставали средства для борьбы со спамом и вирусами, а также web-фильтры, тем самым разгружая конечные точки. С течением времени «в полку прибыло» за счёт систем контентной фильтрации, DLP-систем и WAN-оптимизаторов. Однако затем стали проявляться проблемы совместного использования, управления и владения подобными армадами. Поиск решения привёл к идее UTM-системы.

Как и в случае с IPS-системами, можно условно разделить UTM-системы на «чистокровные» и «эволюционировавшие». Главное отличие «чистокровных» заключается в создании решения с нуля, использовании при их построении специально разработанных аппаратных платформ, собственных «самописных» операционных систем и т.д.

Сегодня некоторые вендоры уже говорят о следующем поколении – Next Generation UTM. Решения становятся модульными, а политики едиными, с ориентацией не на протоколы, а на приложения и пользователей.

 

UTM в мире

В 2011 году, рассуждая о перспективах развития рынка UTM-систем в мире, представители компании Fortinet приводили прогнозы IDC и Gartner, согласно которым основным трендом к 2015-2016 годам должны стать именно UTM-решения, а рынок отдельных средств защиты, таких как антивирусы, брандмауэры, IPS потеряет в весе. Можно сказать, пока этот прогноз оправдывается. Так, мировой объём рынка в 2012 году Gartner оценила в $1,53 млрд., что на 18,7% больше показателей 2011 года. При этом среднегодовой темп роста до 2018 года оценивается примерно в 15%.

Если взглянуть на «магические квадраты» разных лет, можно проследить определённые тенденции и сделать выводы относительно распределения основных игроков.

 

Рисунок 1. «Магические квадраты» Gartner для UTM-решений

 

 

На июль 2013 года в лидерах присутствуют Fortinet, Check Point, Dell, WatchGuard и Sophos. Примечательно, что за период 2009-2013 состав лидеров отрасли практически не изменился. Новые имена Dell и Sophos связаны с покупкой этими компаниями SonicWALL и Astaro соответственно. Однако в отличие от мирового рынка, в России, как всегда, не обходится без особенностей.

 

UTM в России

Прежде всего, стоит отметить, что UTM-системы на отечественном рынке не так популярны, как многим хотелось бы. Во-первых, как уже упоминалось выше, компании попросту не верят в эффективность «одной универсальной коробки», которая способна заменить выстроенную по типу «конструктор» и выстраданную за долгие годы систему безопасности. Также есть определённые сомнения и в итоговой производительности решений в режиме «всё включено». Однако помимо психологических барьеров, оказавшихся чрезвычайно сильными в наших широтах, существуют и более материальные препятствия.

К примеру, в обязательное минимальное функциональное наполнение UTM-систем должны входить межсетевой экран, система обнаружения и защиты от вторжений, VPN и антивирус. Преимуществом продукта на российском рынке является сертификация ФСТЭК. Вот только требований именно к UTM до последнего времени не было (сперва были только для межсетевых экранов). Новые требования (к IPS и антивирусам) добавят новые направления сертификации и, как следствие, новые затраты.

Другим серьёзным препятствием, касающимся в первую очередь зарубежных производителей, является необходимость в освоении рынка «с нуля». Необходимо вкладывать большие деньги для обеспечения своего присутствия в России, как-то: офис, перевод материалов и сайта, организация партнёрской сети, обучение местных специалистов и т.д. Всё это естественным образом снижает количество «желающих».

Тем не менее, на российском рынке сегодня присутствуют следующие зарубежные игроки:

• Fortinet;
• Check Point;
• Dell;
• WatchGuard;
• Sophos;
• NETASQ;
• Cisco;
• Juniper Networks.

Отечественные компании также предлагаю свои разработки. К примеру:

• UserGate Proxy & Firewall от Entensys;
• ИКС (Интернет Контроль Сервер) от А-Реал Консалтинг.

О популярности идеи UTM-систем можно судить хотя бы по тому, сколько различных компаний ведут или вели разработки: HP, McAfee, Symantec, Microsoft, Zyxel, Dr.Web и т.д.

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

• Межсетевой экран, VPN и Traffic Shaping;
• Систему предотвращения вторжений (IPS);
• Антивирус/Противодействие действию вредоносных программ;
• Интегрированный Wi-Fi контроллер;
• Контроль приложений;
• Защиту от утечек данных;
• Поиск уязвимостей;
• Поддержку IPv6;
• Web-фильтрацию;
• Антиспам;
• Поддержку VoIP;
• Маршрутизацию/коммутацию;
• WAN-оптимизацию и web-кеширование.

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности. Подробнее с техническими характеристиками можно ознакомиться здесь.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

• Проверенные технологии, пользующиеся доверием компаний из списка Fortune 500;
• Все необходимое для защиты Вашей сети: функционал, обновления и управление безопасностью;
• Защита сетей, систем и пользователей от множества видов атак из Интернета
• Обеспечение конфиденциальности путем защиты удаленного доступа и связи между узлами;
• Быстрое и простое развертывание системы безопасности и ее администрирование благодаря наличию многих функций безопасности в одном устройстве и широкой линейке устройств для компаний любого размера - от малого офиса до крупного предприятия;
• Защита от появляющихся новых угроз при помощи службы обновлений Check Point Update Service.

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться здесь.

Dell

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100,  строятся на собственной платформе Network Security SonicOS Platform и включают в себя:

• Next-Generation Firewall;
• Контроль приложений;
• Глубокое исследование пакетов (в том числе и зашифрованных с помощью SSL);
• Организация VPN и SSL VPN;
• Антивирус;
• Веб-фильтрация;
• Система предотвращения вторжений (IPS).

Подробнее с техническими характеристиками можно ознакомиться здесь.

WatchGuard (есть сертификат ФСТЭК)

В линейке UTM компания WatchGuard представлена устройствами Firebox X на базе многоуровневой архитектуры Intelligent Layered Security. Архитектура состоит из шести слоев защиты, взаимодействующих друг с другом:

• «Внешние службы безопасности» - предлагают технологии, расширяющие защиту сети за межсетевой экран;
• «Целостность данных» - проверяет целостность пакетов и их соответствие протоколам;
• «VPN» - проверяет зашифрованные внешние соединения организации;
• Межсетевой экран с динамическим анализом ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности;
• «Глубокий анализ приложений» - обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки;
• «Безопасность содержимого» - анализирует и упорядочивает трафик для соответствующего приложения. Примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL.

Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается внутрь сети.

В системе также используются собственные:

• Антивирус/система предотвращения вторжений на шлюзе;
• WebBlocker;
• SpamBlocker.

Подробнее с техническими характеристиками можно ознакомиться здесь.

Sophos (есть сертификат ФСТЭК)

Модельный ряд устройств компании представлен линейкой UTM xxx (от младшей модели UTM 100 до старшей UTM 625). Основные отличия заключаются в пропускной способности.

Решения включают ряд интегрированных сетевых приложений:

• DPI межсетевой экран;
• Система обнаружения вторжений и веб-фильтрация;
• Безопасность и защита электронной почты
• Контент-фильтры;
• Антивирусный контроль трафика;
• Сетевой сервис (VLAN, DNS, DHCP, VPN);
• Отчетность.

Решения позволяют обеспечить безопасность и защиту сетевых сегментов и сетевых сервисов в телекоммуникационной инфраструктуре SOHO, SME, Enterprise, ISP и обеспечить контроль и тонкую очистку IP-трафика на сетевом уровне. уровнях приложений (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Анти-вирус, Анти-спам).

Подробнее с техническими характеристиками можно ознакомиться здесь.

NETASQ

Компания NETASQ, входящая в корпорацию EADS, специализируется на создании межсетевых экранов оборонного класса для надёжной защиты сетей любого масштаба. UTM-устройства NETASQ имеют сертификаты НАТО и Евросоюза, а также соответствуют классу EAL4+ «Общих критериев оценки защищенности информационных технологий».

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) — 9-11 лет.

В преимущества своих продуктов компания выделяет:

1. IPS;
2. DPI;
3. NETASQ Vulnerability Manager;
4. Антиспам с фильтрацией рассылок;
5. Интеграцию с «Антивирусом Касперского»;
6. Фильтрацию URL с непрерывным обновлением из облака;
7. Фильтрацию внутри SSL/TLS;
8. VPN-решения с аппаратным ускорением;

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) — 9-11 лет.

Подробнее с техническими характеристиками можно ознакомиться здесь.

Cisco (есть сертификат ФСТЭК)

Компания предлагает решения как для крупного (Cisco ASA ХХХХ Series), так и для малого/среднего бизнеса (Cisco Small Business ISA ХХХ Series). Решения поддерживают функции:

• Контроля приложений и поведения приложений;
• Веб-фильтрации;
• IPS;
• Защиты от ботнетов;
• Защиты от интернет-угроз в режиме, максимально приближенному к реальному времени;

Также обеспечивается:

• Поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников
• Поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки

Подробнее с техническими характеристиками можно ознакомиться здесь.

Juniper Networks

Функциональное направление UTM поддерживают линейки устройств SRX Series и J Series.

В основные преимущества относят:

• Всестороннюю многоуровневую защиту, включающую защиту от вредоносного ПО, IPS, фильтрацию URL-адресов, контентную фильтрацию и анти-спам;
• Контроль и защиту приложений с применением политик на основе пользовательских ролей для противодействия атакам на приложения и сервисы Web 2.0;
• Предустановленные, быстро подключаемые инструменты UTM;
• Минимальные затраты на приобретение и содержание  защищённого шлюза в рамках единого производителя защитного комплекса.

Решение состоит из нескольких компонент:

• Антивирус. Защищает сеть от вредоносніх программ, вирусов, шпионских программ, червей, троянов и других атак, а также от почтовых и веб-угроз, которые могут подвергнуть риску бизнес предприятия и корпоративные активы. В основе встроенной в UTM системы защиты от вредоносных программ лежит антивирусное ядро «Лаборатории Касперского».
• IPS. Применяются различные методы детектирования, в т.ч. выявление аномалий протокола и трафика, контекстные сигнатуры, распознавание SYN-флуда, спуфинг-мошенничества, а также обнаружение бэкдоров.
• AppSecure. Ориентированный на приложения (application-aware) комплекс сервисов по обеспечению безопасности, который анализирует трафик, предоставляет широкие возможности мониторинга приложений (application visibility), обеспечивает применение правил сетевого экрана для приложений, позволяет контролировать использование приложений и защищает сеть.
• Улучшенная фильтрация веб-трафика (Enhanced Web Filtering, EWF) обеспечивает защиту от потенциально вредоносных веб-сайтов несколькими способами. Технология использует 95 категорий URL-адресов, что позволяет организовать их гибкий контроль, помогает администраторам отслеживать сетевую активность и обеспечивает выполнение корпоративных политик использования веб-ресурсов. В работе EWF применяется оперативный, осуществляемый в режиме реального времени репутационный анализ на базе сети последнего поколения, которая проверяет на наличие вредоносного кода более 40 млн. веб-сайтов в час. EWF также ведёт совокупный учёт опасности для всех URL-адресов – как категоризированных, так и некатегоризированных, позволяя компаниям отслеживать и/или блокировать сайты с плохой репутацией.
• Антиспам.

Подробнее с техническими характеристиками можно ознакомиться здесь.

 

Выводы

Российский рынок UTM-систем определённо представляет интерес, как для производителей, так и для потенциальных покупателей. Однако в силу устоявшихся «традиций», производителям приходится вести одновременную «битву» как на фронте сертификации и выстраивания партнёрского канала, так и на ниве маркетинга и продвижения.

Так, можно уже сегодня наблюдать, как практически все из рассмотренных компаний ведут работу над переводами материалов на русский язык, обзаводятся новыми партнёрами, а также проводят сертификацию своих решений. К примеру, в 2012 году Dell учредила отдельную компанию Dell Russia специально для российского рынка (компания не будет заниматься даже «ближайшими соседями» - Украиной и Беларусью). Отечественные разработчики тоже не стоят на месте, развивая свои решения. Примечательно, что многие производители (как отечественные, так и зарубежные) интегрируют сторонние модули в свои продукты. Показательным в этом плане является антивирусный модуль: различные UTM-системы используют ClamAV, Антивирус Касперского, Avira AV, Dr.Web и.т.д.

Тем не менее, вывод очевиден: российский рынок рассматривается всерьёз и на долгосрочную перспективу. Пока отступать не планирует никто, а значит, впереди нас ждут борьба за место под отечественным солнцем. Ведь «№1 в Мире» - это совсем не то же самое, что «№1 в России».