Odpowiedni UTM

Bezpieczeństwo sieci lokalnej stało się dla firm znacznie ważniejsze niż kiedykolwiek. W odpowiedzi wielu wyspecjalizowanych producentów oferuje fizyczne i wirtualne urządzenia UTM (Unified Threat Management), aby podnieść poziom zabezpieczeń i aktywnie reagować na zagrożenia typu zero-day. Złożoność technologii chmurowych i rosnąca popularność urządzeń mobilnych w korporacyjnych sieciach sprawiają, że ochrona użytkowników i danych przed szeregiem nowych zagrożeń staje się niezbędna z punktu widzenia funkcjonowania organizacji. Technologie UTM zawierają szereg opcji do zarządzania wieloplatformowymi zagrożenia z poziomu jednego panelu administracyjnego. Te urządzenia pokrywają swoim działaniem więcej niż tylko rdzeń sieci i aplikacje. Rozszerzają możliwości monitorowania sieci, zarówno kablowych jak i bezprzewodowych.

W teorii połączenie w jednym urządzeniu różnych mechanizmów bezpieczeństwa, jak antywirus, IDS czy zapora sieciowa ma sens. W rzeczywistość przydatność rozwiązań klasy UTM zależy jednak nie od tego, co ma ono środku, ale od tego, czy użytkownik ma powody, aby mieć w jednym „pudełku” więcej niż jedną funkcję ochronną. Za tymi rozwiązaniami przemawia kilka argumentów: konsolidacja, redukcja kosztów, lepsza wydajność, mniejsza złożoność, uproszczone zarządzanie oraz większa elastyczność. Dobre zrozumienie istoty tych argumentów da lepsze wyobrażenie, czy rozwiązania UTM pasują do danej sieci korporacyjnej. Szczególnie małe i średnie firmy powinny być sceptyczne co do marketingowego przekazu producentów wychwalającego zalet konsolidacji dużej liczby zabezpieczeń w jednym urządzeniu. Zamiast tego należy ocenić UTM pod kątem funkcji, które faktycznie będą wykorzystywane, wydajności oraz jakości wsparcia technicznego oferowanego przez dostawcę.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Funkcjonalności zaszyte w obecnych produktach UTM obejmują zapory sieciowe i aplikacyjne, obsługę połączeń VPN, antywirusa, antyspam, ochronę przed oszustwami (phishing), zarządzania przepustowością sieci, systemy IDS, kontrolę aplikacji, filtrowanie stron WWW oraz mechanizmy proxy. Innymi słowy produkty UTM to zapory sieciowe z szeregiem dodanych funkcji. Co to oznacza dla administratora sieci? Podejmując decyzję o zakupie, należy się zastanowić nie nad tym, czy kupić taki rozbudowany firewall, ale nad tym, czy te dodatkowe funkcje faktycznie będą używane.

Tematykę UTM dodatkowo komplikuje chęć producentów do przeniesienia najbardziej zaawansowanych modeli do sieci korporacyjnych. Dotychczas wdrażanie tego typu urządzeń było najłatwiejsze w sieciach małych i średnich firm. Jest to prosty scenariusz: UTM wprowadza takie zabezpieczenia, których wcześniej w tych sieciach nie było. Wdrożenie na bramce internetowej antywirusa, którego wcześniej tam nie było, jest prostą decyzją. Oczywiście dodanie kolejnej warstwy zabezpieczeń nie daje gwarancji pełnego bezpieczeństwa, ale stosunek potencjalnych korzyści do ceny z reguły przekonuje decydentów w tej wielkości firmach do zakupu dodatkowych funkcji. Poza tym konsolidacja wielu funkcji w jednym urządzeniu wiąże się również z kompromisami dotyczącymi wydajności i możliwości poszczególnych komponentów. Małym i średnim firmom łatwiej zaakceptować takie kompromisy.

Natomiast w bardziej rozbudowanych sieciach znajdziemy wiele urządzeń ochronnych, jak zapory sieciowe, systemy IPS czy serwery proxy. W takiej sytuacji kwestia wdrożenia UTM rodzi bardziej skomplikowane pytania: czy urządzenia dodatkowych funkcji oferowanych przez UTM czy raczej pozostać przy korzystać z punktowych rozwiązań?

Rozwiązania UTM są już na tyle dopracowane, że nie trzeba zatrudniać do ich obsługi całego zespołu inżynierów, aby ręcznie dbali o monitorowanie sieci w poszukiwaniu zagrożeń. Są również wszechstronne i można je stosować do ochrony różnych platform obliczeniowych, aplikacji czy komponentów infrastruktury. UTM można wdrażać jako rozwiązania wirtualne lub fizyczne albo jako kombinację obu. Niektórzy producenci oferują te rozwiązania również w modelu subskrypcyjnym.

Litera "U" w UTM odnosi się do zunifikowanego (Unified) czy też kombinowanego podejścia do zarządzania ochroną przed zagrożeniami, która obejmuje monitorowanie aplikacji, urządzeń równoważących obciążenie, zapór sieciowych, antywirusów oraz systemów IDS. Produkty UTM mają również wbudowane mechanizmy ochrony serwerów, stacji roboczych, komputerów przenośnych oraz innych urządzeń mobilnych.

Jednym z zadań realizowanych przez UTM jest możliwość zarządzania wszystkimi usługami bezpieczeństwa działającymi w różnych urządzeniach za pomocą jednego interfejsu i powiązanej z nim bazy danych. Taka unifikacja informacji o zagrożeniach umożliwia korelację danych, monitorowanie poziomów SLA czy tworzenie wielu różnych raportów, ale na podstawie pojedynczego zbioru danych.

Jeśli firmowa strategia bezpieczeństwa zakłada korzystanie z różnych, niezintegrowanych zabezpieczeń, wystawia to organizację na zwiększone zagrożenie atakiem. Jest bowiem ryzyko, że administratorzy IT nie rozpoznają zagrożenia, gdy ono faktycznie wystąpi, ponieważ nie będą mieli możliwości skorelowania informacji z różnych źródeł. Jeden spójny, logiczny obraz całego środowiska i umożliwia taką korelację. Usprawnia również egzekwowanie reguł bezpieczeństwa. Przykładowo, mamy rozwiązanie do ochrony, które monitoruje urządzenia mobilne w sieci korporacyjnej z wykorzystaniem oddzielnego oprogramowania antywirusowego i antyspamowego. Jeśli przyjdzie zainfekowany załącznik z zagrożeniem, które zacznie infekować urządzenia mobilne, zespół bezpieczeństwa może nie skorelować tych faktów bez zintegrowanego oprogramowania obejmującego te dwie platformy. Rozwiązania UTM znacznie zwiększają szanse, że jednocześnie występujące zdarzenia zostaną automatycznie powiązane ze sobą.