UTM również dla większych sieci

Urządzenia UTM (Unified Threat Management) mogą być wykorzystywane nie tylko przez małe i średnie firmy, którym - wobec niewielkich działów IT - taka integracja znacznie ułatwia życie. UTM mogą znaleźć swoje miejsce także w sieciach dużych przedsiębiorstw.

Urządzenia UTM (Unified Threat Management) mogą być wykorzystywane nie tylko przez małe i średnie firmy, którym - wobec niewielkich działów IT - taka integracja znacznie ułatwia życie. UTM mogą znaleźć swoje miejsce także w sieciach dużych przedsiębiorstw.

W małych i średnich przedsiębiorstwach rozwiązania UTM - zapory ogniowe, które stanowią warstwę ochronną przed kodami złośliwymi, filtrują zawartość, pełnią funkcje antyspamowe i zapobiegania włamaniom - preferowane są głównie z tego powodu, że wdrożenie pojedynczego, wielofunkcyjnego urządzenia zmniejsza koszty i upraszcza konfigurację.

Decyzja "czy" i "gdzie" wdrożyć urządzenie UTM w dużym przedsiębiorstwie jest dużo bardziej skomplikowana. Idea pojedynczego punktu, przez który przechodzi cały ruch, stanowiącego wspólne miejsce minimalizowania zagrożeń, nie sprawdza się, gdy sieć ma dziesiątki lub setki, a czasami tysiące różnych lokalizacji. Również problem wydajności jest w dużych sieciach sprawą krytyczną - aby zmniejszyć prawdopodobieństwo pojawienia się wąskiego gardła, administratorzy wolą ochronę rozproszoną zamiast scentralizowanej.

Także jakość mechanizmów ograniczania zagrożeń, jaką zazwyczaj oferują UTM dla MSP, może nie być wystarczająca dla przedsiębiorstw, których wymagania są bardziej wygórowane, a architektura bezpieczeństwa bardziej złożona. Na przykład mechanizm antyspamowy i funkcje antywirusowe w zaporze ogniowej UTM nie dorównują tym, jakimi dysponują niezależne urządzenia antyspamowe i antywirusowe klasy przedsiębiorstwa.

Przy tak dużych różnicach pomiędzy wymaganiami stawianymi przez MSP i duże przedsiębiorstwa, czy jest w tych ostatnich miejsce na stosowanie zapór ogniowych UTM? Odpowiedź ostatecznie brzmi TAK - z trzech powodów: mniejsza złożoność, prostsze zarządzanie i większa elastyczność.

Relatywna prostota

UTM również dla większych sieci

Kompleksowa ochrona wobec zagrożeń

Zarządzający siecią w przedsiębiorstwach od dłuższego czasu poszukują możliwości włączenia dodatkowej ochrony przed zagrożeniami, zwłaszcza funkcji systemów IDS/IPS (Intrusion Detection/Prevention Systems), zarówno w rdzeniu, jak i na brzegu sieci. Jednak doświadczenia z wdrażaniem wolno stojących skrzynek IDS/IPS sprawiają, że administratorzy podchodzą do tego z dużą ostrożnością. O ile sztukę budowania warstwowego firewalla - z rozkładaniem obciążeń na klaster zapór - opanowali dość dobrze, o tyle dołożenie kolejnego poziomu ochrony dramatycznie zwiększa złożoność architektury i jej potencjalną niestabilność.

Już pojedyncza warstwa jest przez architektów sieci uważana za poważne wyzwanie, ale dodanie poziomów przenosi tę działalność z dziedziny rzemiosła do sztuki, zwiększając znacznie stopień trudności projektu i dając wyjątkową sposobność do dużej liczby pomyłek i problemów. To tak jak dołożenie nowych warstw do kanapki: nie tylko trudno mieści się w ustach, ale cała zawartość może łatwo wypaść na stół.

Dlatego UTM dla przedsiębiorstwa, zawierający zintegrowaną funkcjonalność IDS/IPS, może zapewnić administratorom dodatkową ochronę w całej sieci bez radykalnego zwiększania złożoności, jakie mogą wnosić niezależne urządzenia IPS.

Uproszczone zarządzanie

UTM również dla większych sieci

FortiGate 3600A firmy Fortinet ma układy przyspieszające ASIC i zintegrowane mechanizmy bezpieczeństwa obejmujące: funkcje antywirusa, antyspyware, VPN, wykrywanie i zapobieganie wtargnięciom, filtrowanie ruchu www, antyspam oraz optymalizację ruchu. Urządzenie zapewnia 8 interfejsów miedzianych (10/100/1000 Mb/s) i dwa światłowodowe (SPF). Cena (wyłącznie za sprzęt) wynosi ok. 42 tys. USD.

Choć koncepcja pojedynczej konsoli UTM, która będzie obsługiwać wszystko: od routingu IP po alarmy IDS, jest atrakcyjna, to zespoły odpowiedzialne za bezpieczeństwo w przedsiębiorstwach często wolą oddzielne systemy zarządzania z prostego powodu: za różne rodzaje zagrożeń i konfigurowanie odpowiedzialne są różne osoby.

Niemniej jednak pewien poziom integracji zarządzania może zmniejszyć obciążenia związane z obsługą tych różnych funkcji. Przykładowo, każda konsola zarządzania musi uwzględniać różne obiekty sieciowe, które są używane do definiowania reguł polityki: mogą to być serwery pocztowe, użytkownicy, a także gościnny dostęp do sieci, jak również internet.

Te same obiekty powinny być uwzględniane w różnych systemach zarządzania, gdzie za każdym razem muszą być one uaktualniane i dostosowywane, a jest to doskonała okazja do popełniania błędów, które tworzą luki bezpieczeństwa. Pojedyncza konsola zarządzania, która udostępnia obiekty różnym funkcjom, upraszcza zadania zarządzania.

Takie spojrzenie na zarządzanie jest ważne zwłaszcza wtedy, gdy zapora ogniowa, VPN oraz IDS/IPS są rozpatrywane razem, ponieważ wszystkie te trzy funkcje działają według tych samych reguł polityki. Każda z tych funkcjonalności wymaga pewnego wglądu w topologię sieci: jakie aplikacje pracują na różnych serwerach sieci i jakie grupy użytkowników mogą mieć do nich dostęp. Całkowicie oddzielone zarządzanie dla trzech funkcjonalności czyni utrzymywanie skoordynowanej polityki zadaniem trudnym, czy wręcz niemożliwym.

Pojedyncza konsola zarządzania obsługująca UTM w praktyce pozwala na dobre zestrojenie reguł polityki dla tych trzech funkcji, co zwiększa bezpieczeństwo ogólne.

Większa elastyczność

UTM również dla większych sieci

Secure Services Gateway 520 M firmy Juniper Networks zapewnia zarówno funkcje bezpieczeństwa, jak i routingu w sieciach LAN/WAN przedsiębiorstwa i dużych jego oddziałach. Chroni przed robakami, spyware i kodami złośliwymi, wykorzystując zestaw mechanizmów ochronnych UTM: zaporę ogniową, IPSec VPN, IPS, antywirus, antyspyware, antyphishing, antyspam i filtrowaniehttp://www. Przepustowość zapory ogniowej to ponad 650 Mb/s, a IPSec VPN - 300 Mb/s. Cena: 6500 USD.

Architekci bezpieczeństwa w dużych przedsiębiorstwach zwykle lekceważąco odnoszą się do upychania wielorakich mechanizmów, takich jak antywirus, antyspam, antymalware czy antypishing, w urządzeniach UTM klasy MSP. Przy nastawieniu "wybieramy najlepsze z możliwych" i odpowiednim budżecie są oni średnio zainteresowani aktywowaniem mechanizmów IPS w zaporach ogniowych. Aczkolwiek zawsze istnieją specyficzne sytuacje, kiedy możliwość włączenia, dajmy na to antywirusa, może przynieść ogromne korzyści.

Dodatkowe mechanizmy bezpieczeństwa ukryte w dużych zaporach ogniowych, które mogą być aktywowane kliknięciem myszy, dają zarządcom sieci większą elastyczność, co nie jest bez znaczenia w sytuacjach nadzwyczajnych. Na przykład blokowanie wirusów na zaporze ogniowej UTM może być wyjściem awaryjnym, kiedy urządzenie antywirusowe nagle przestanie działać z powodu uszkodzenia sprzętu, oprogramowania lub po prostu konieczności przejścia procesu uaktualnienia.

Innym przykładem jest dostęp gościnny do sieci: większość przedsiębiorstw wybiera podejście z proxy HTTP, zapewniającym filtrowanie treści i ochronę antyphishingową. Jednak można też umożliwić użytkownikom-gościom wybór innego rodzaju ochrony - prostszym i efektywniejszym sposobem udostępniania takich mechanizmów jest zapora UTM umiejscowiona w sieci.

Elastyczność we wprowadzaniu usług bezpieczeństwa, jaką zapewnia używanie zapór ogniowych UTM, odpowiada wymaganiom szybkiej reakcji na zagrożenia, nawet jeżeli takie mechanizmy są rzadko używane.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200