`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

UTM: возможны ли компромиссы в безопасности?

Статья опубликована в №41 (707) от 17 ноября

0 
 

Одним из главных побудительных мотивов для подготовки данной Темы номера стала задача разобраться с тем, что же представляют собой решения класса UTM, которые также получили жаргонное название «безопасность из коробки». Но столкнувшись с ней, мы поняли, что проведение полноценного обзора не имеет смысла без длительной эксплуатации, так как ТТХ практически всех продуктов очень похожи. А разница заключается в нюансах настройки и обслуживания, выявляемых после длительной эксплуатации. Поэтому мы остановимся лишь на нескольких ярких примерах и поговорим о тенденциях развития данного класса устройств.

UTM возможны ли компромиссы в безопасности?
Продукция одного из лидеров, по мнению Gartner, рынка UTM – компании SonicWall – не часто встречается среди отечественных предложений

К сожалению, в отношении UTM бытуют две крайние, одинаково порочные точки зрения. Согласно первой один раз приобретенная «коробка», словно «золотая пилюля», навсегда защитит бизнес от всяческих угроз безопасности компании. Другая крайность, наоборот, проявляется в недооценке целесообразности всех подобных устройств и их роли в обеспечении даже минимального уровня защиты. Вторая точка зрения базируется на отрицательном опыте, свидетельствующем, что передовым атакам злоумышленников не смогли противостоять даже отдельные крупные корпорации, где требования к защите существенно выше. Однако настолько ли беззащитен малый и средний бизнес перед лицом многообразия угроз? Тот же Conficker вряд ли побил бы все рекорды, если бы не сочетал новейшие технологии и пути распространения с хорошо известными традиционными. По сути, он также еще раз продемонстрировал, что мелочей, равно как и единственной «золотой пилюли» в области ИТ-безопасности, нет и не будет – достаточно вспомнить, что злополучная уязвимость продолжала еще долго эксплуатироваться после выхода соответствующего обновления.

Несомненно, защита периметра LAN, по аналогии с функциями крепостной стены в обороне средневекового города, постепенно продолжает терять свою исключительную роль. Введением «чрезвычайного положения» для его жителей – мерами административного характера – тут не обойдешься. Тот же кризис способствовал интенсификации использования всех доступных способов коммуникаций, среди которых IM, Skype, работа с клиентами через социальные сети и применение других современных веб-технологий, способных повысить эффективность бизнеса, а также формы совместной работы, включающие мобильную удаленную и беспроводную. Тем не менее средства для защиты периметра наряду с другими будут еще долго оставаться актуальными (в нашей аналогии – для защиты от мелких, но множественных хулиганов).

Таким образом, полный комплекс мер по содержанию ИТ-инфраструктуры вне зависимости от ее размера, включая персональные и сетевые средства защиты, – необходимое условие для сохранения бизнеса. Однако «по бюджету» ли он всем?

UTM возможны ли компромиссы в безопасности?
Основную группу UTM-продуктов Watchguard составляют устройства трех линеек Firebox e-Series

Трудно не согласиться со специалистами Ernst & Young, которые по результатам опроса в 2009 г. констатировали, что одной из наиболее сложных в решении задач года стал процесс поиска средств на нужды информационной безопасности (ИБ). При этом ровно половина респондентов оценила степень важности ИБ для своего бизнеса как высокую или значительную. Такой результат демонстрирует существенный рост (на 17%) по сравнению с прошлогодним показателем. 40% респондентов планируют увеличить долю в суммарных расходах, направляемую на инвестиции в данной области, но половина намерена приложить все усилия, лишь бы сохранить эти затраты на прежнем уровне. Так что в поиске вышеуказанного компромисса отражаются, как правило, не столько банальная недооценка противника либо своих потенциальных возможностей, сколько конкретные бюджетные ограничения, характерные для малого и среднего бизнеса.

UTM вчера, сегодня, завтра

Известно, что несомненным достоинством UTM является экономия средств. Стоимость владения UTM складывается из цены на него, подписки на обновление сигнатур для основных модулей, расширенного сервиса и расходов на персонал. Капитальные затраты снижаются, например, за счет использования единого устройства с функциями нескольких. Операционные – благодаря сокращению расходов на администрирование, меньшим габаритам, энергопотреблению и т. п. Уместным будет напомнить и об основном ограничении концепции, связанной с появлением единой точки отказа. То есть, если подобное устройство выходит из строя, то защита периметра, включая антиспамовую перлюстрацию почтовых отправлений, пропадает. Если на шлюзе к тому же терминируется весь доступ по VPN и подключение через WLAN, мобильные или беспроводные сотрудники полностью лишатся возможности работать. Поэтому при повышенных требованиях к производительности и эффективности отдельных сервисов безопасности все же более правильным является применение набора узкоспециализированных продуктов. Хотя, как мы показали во врезке, многие из них достаточно универсальны, чтобы сравниться по отдельным функциям с UTM начального уровня.

UTM возможны ли компромиссы в безопасности?
Возглавляет тройку лидеров продукция от Fortinet. В составе обширной линейки – устройства с беспроводным интерфейсом и возможностью доступа к сетям 3G

На сегодняшний день термин UTM охватывает практически весь спектр программно-аппаратных и небольшой доли программных средств, нацеленных на обеспечение безопасности периметра сети, работы в Интернете и обмена почтой, и предлагается почти всеми производителями шлюзов, другого сетевого оборудования, а также рядом профильных компаний. Именно они, по оценке Gartner, согласно отчету 2009 г. и занимают лидирующие позиции: это продукция Fortinet, WatchGuard и SonicWall.

Сама концепция объединенной платформы безопасности, скрывающаяся за недословным переводом аббревиатуры UTM, появившейся как результат попытки статистической маркетинговой систематизации всего многообразия «коробочных» устройств на рынке защиты еще в 2004 г., претерпела ряд преобразований. Разумеется, продолжается совершенствование алгоритмов в рамках базового набора возможностей. С другой стороны, отмечаются интеграция новых функций защиты, соответствующих современным вызовам, и дифференциация продуктов для увеличения их «заметности» на рынке. Именно они признаются двумя основными действующими тенденциями в развитии номенклатуры UTM. Например, готовность предложить универсальное решение, максимально соответствующее частным потребностям клиента, проявляется в линейке UTM шлюзов Fortigate, которая насчитывает более 30 моделей.

Касательно дальнейшего развития UTM и «коробочных» решений, в качестве вероятной тенденции следует предположить все более тесную интеграцию между средствами защиты периметра и endpoint. Основу такого вывода составляет, в частности, тот факт, что как у множества аппаратных UTM, так и у потребителя использованы продукты от одного и того же вендора, потенциально способные на большее в случае симбиотической работы.

UTM возможны ли компромиссы в безопасности?
Свои выводы о позициях UTM-продуктов аналитики Gartner представили в виде «магического квадрата»

С определенной долей вероятности можно прогнозировать рост дальнейшего спроса (в основном среди представителей малого бизнеса с единичным количеством пользователей) на чисто программные решения (см. информацию на сайте о ПО от Astaro). Особенно на те, что допускают инсталляцию UTM не только на обычный ПК, но и способны функционировать в виртуальной среде рабочей машины.

В любом случае, пока к решению пусть и наиболее общих задач обеспечения безопасности не подключатся ведущие поставщики услуг Интернета, до первоначального насыщения отечественного рынка, для которого характерен дефицит ИТ-бюджетов у малых и средних компаний из-за низких темпов выхода из кризиса, судьбе бизнеса UTM ничего не грозит. Разумеется, и в данных условиях приоритет пользователя при выборе будет постепенно смещаться от голого «доверия к бренду» в сторону продавца, способного совместно с вендором оперативно обеспечить лучшее качество обслуживания оборудования и предложить сопутствующие услуги.

Широкая функциональность современных узкоспециализированных продуктов

Cisco IronPort С160
Cisco IronPort С160

Производитель позиционирует Cisco IronPort как семейство продуктов для сетей, включающих от 100 почтовых клиентов и от 250 веб-пользователей.

Рассказ о Cisco IronPort начнем с серии Email Security Appliance (С150/160, С360, С660, X1060) с функциями почтового релея, репутационной фильтрации и сигнатурного анализа спама, обнаружения известных и новых вирусов, контентной фильтрации писем, предотвращения утечки данных через корпоративную почту, включая возможность ее шифрования.

Следующая группа, Web Security Appliance, состоящая из продуктов S160, S360, S660, берет на себя функции прокси-сервера, обеспечивает контроль доступа пользователей к Сети, включая обнаружение вирусов в веб-трафике и управление запрашиваемым содержимым с фильтрацией по общепринятым категориям сайтов. Данная платформа также способствует предотвращению утечки данных через Интернет и обнаружению зараженных компьютеров в сети.

Еще один член данного семейства IronPort – Security Management Appliance (M160, M660, M1060) – отвечает за управление системой, сбор и анализ отчетов с возможностью поиска корреляций между событиями и единого карантина для всех Email Security Appliance. Нелишне повториться – пользовательская неудовлетворенность именно этими функциями в «зоопарке» разрозненных устройств в свое время послужила одной из причин возникновения класса UTM-«коробочных» решений.

Все три группы устройств базируются на закрытой ОС и предынсталлируются на стандартные серверы Dell PowerEdge (1U либо 2U). Один из самых важных моментов – оперативность, доступность и качество обновлений продуктов. Постоянное пополнение базы сигнатур требуется для антиспама (IronPort Anti-Spam), антивируса (Sophos, McAfee, Webroot), Virus Outbreak Filters и URL-фильтров. Обновления скачиваются с веб-серверов IronPort, и обычно на них в совокупности тратится до нескольких десятков мегабайт трафика в день. База для репутационного анализа (рейтинга IP-адреса или URL) опубликована в Интернете (http://senderbase.org) и постоянно доступна благодаря распределенной сети серверов.

Так как в рамках нашего обзора не ставилась задача сравнительного тестирования и выдачи рекомендаций по конкретным продуктам, слово для аргументации оставим за пользователем. Но прежде дадим информацию по ценам, ведь они, согласно сложившейся логике, как раз и определяют актуальность этого класса устройств на рынке, зачастую являясь главным фактором при принятии решения. Заметим лишь, что стоимость не кажется нам завышенной с учетом соотношения между решаемыми с помощью данного устройства задачами и всеми затратами на обеспечение безопасности предприятия. По информации компании headtechnology, официального партнера Cisco по продукции IronPort, оценочная стартовая стоимость базового решения в пересчете на один обслуживаемый endpoint для младших моделей группы «С» не превысит $30, а для «S» – $60. К этому следует добавить для Email Security Appliance по $10 за каждую подписку, включающую антивирус, защиту от неизвестных вирусов (virus outbreak filter), шифрование. А каждая дополнительная подписка на Web Security Appliance выльется еще в $50. Устройства могут покупаться с запасом производительности, но лицензироваться по текущему числу активных пользователей.

По мнению руководителя отдела информационной безопасности ТД «Мегаполис» Сергея Лапина, с внедрением IronPort C100 удалось достичь 90%-ной точности фильтрации спама и вирусов при одновременном уменьшении нагрузки на почтовую инфраструктуру более чем наполовину. По внутренней статистике компании, в адрес ее сотрудников поступало от 10 до 50 тыс. сообщений, из них 85–95% – спам. Поэтому при поиске замены Postfix основными критериями выбора были качество фильтрации входящих писем на предмет спама и возможность контентного анализа входящих/исходящих отправлений. В результате был выбран комплект из двух работающих в кластере IronPort C100 (AS + AV), позволивших осуществить превентивно-реактивную защиту от спама и давших возможность фильтровать и управлять всем почтовым трафиком предприятия, а также осуществлять его антивирусную проверку.

Уже только первый, превентивный фильтр, ориентируясь на рейтинг благонадежности отправителя по базе IronPort Sender Base, еще на стадии SMTP-сессии (т. е. непосредственно не принимая письма и не создавая дополнительного трафика и нагрузки на сеть) позволил блокировать более 50–70% заведомо нежелательных писем.

Благодаря применению параллельно с системой репутационной фильтрации еще одного, реактивного, позволило увеличить эффективность фильтрации спама ещё на 25–35% и достичь показателя 90%. При этом случаев ошибочной классификации писем как спама (False Positive) практически не было зафиксировано.

Среди явных достоинств выбранного решения отметим умение эффективно противостоять современным технологиям рассылки нежелательной почты, включая анализ не только текстового содержимого тела письма, но и URL, графических, Pdf-, Excel-файлов и MP3-вложений.

Дополнительные материалы:

Бесплатное решение по защите. И без подвохов?

Прежде всего зададимся простым вопросом, носящим (надеемся, пока лишь) риторический характер. Все ли поставщики UTM, «коробочных» решений и прочих описываемых нами платформ безопасности, декларирующие высокий уровень защищенности сети после внедрения в нее своих продуктов, готовы нести материальную ответственность за их эффективность? Если нет, то актуален другой вопрос – а существуют ли бесплатные решения, и в чем тут можно ожидать подвоха?

Проанализируем это на примере одного из бесплатных продуктов от Astaro (для сети до 50 IP-адресов) – шлюза безопасности для защиты (включая антивирусную) периметра сети, доступа к Веб, почтовой переписки и даже поддержки VPN. Сразу оговоримся, что «домашняя» версия Astaro Security Gateway по результатам блиц-тестирования автором, по всей видимости, не рассчитана на полноценную защиту свыше нескольких десятков клиентов. С другой стороны, данное решение полнофункциональное и лицензионно чистое, что немаловажно для малого бизнеса.

Предназначено оно для инсталляции на любой заурядный ПК с CPU от 1 ГГц. Процедура «быстрого старта» с дистрибутива, загруженного с сайта компании, занимает менее получаса. Несколько больше времени потребовалось для его тонкой настройки. Однако в случае миграции решения на другой ПК достаточно будет просто загрузить на него файл конфигурации.

Чем это предложение выгодно клиенту – очевидно, но в чем интерес вендора? Расчет прост: решение должно настолько понравиться, что к моменту, когда сеть потенциального потребителя начнет расширяться, он будет готов перейти к платной версии, так как будет доволен и продуктом, и, что немаловажно, его поддержкой (как локальной, от украинского поставщика, так и всеми формами глобальной). Например, благодаря ресурсу Astaro Feature Request, который обеспечивает разработчикам тесный контакт с пользователями и учитывать их просьбы и пожелания при разработке новых продуктов. В частности, в Astaro Security Gateway 7.5 реализовано свыше 70% актуальных усовершенствований интерфейса, нацеленных на более комфортную работу.

Такой подход приучает пользователя и к мысли, что платформа безопасности – это не обязательно «аппаратное» решение, а может быть поставлена и в виде ПО. При этом опасаться сложностей при инсталляции не стоит, ее вполне по силам развернуть и настроить ИТ-специалисту средней категории на свободном компьютере либо, при соответствующем выделении ресурсов, на виртуальной машине.

0 
 

Напечатать Отправить другу

Читайте также

Куда пропали доп. материалы?

Будут выкладываться вместе с основными материалами.

"предынсталлируются" ыыы

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT