Что такое UTM, NGFW и чем они отличаются

На заре сетевой безопасности брандмауэры просто фильтровали трафик по портам и IP-адресам. Позже они научились динамически обрабатывать информацию и отслеживать пакеты по мере их прохождения в сети. Вместе с тем эволюционировали и киберугрозы. В один момент их стало так много, что ИТ-инфраструктура компаний обросла целым рядом устройств для защиты от потенциальных атак. В их числе оказались следующие решения:

• Межсетевой экран для отслеживания состояния соединений, а также фильтрации входящего и исходящего трафика;
• VPN-серверы для подключения удалённых офисов и предоставления дистанционного доступа к ресурсам компании;
• Система обнаружения и предотвращения вторжений (IDS/IPS) для обнаружения и блокировки вредоносного трафика;
• Веб-прокси для интеграции с антивирусами, фильтрации трафика и URL-адресов;
• Спам-фильтр для блокировки нежелательных писем и предотвращения попыток фишинга.

На появление всё более сложных угроз отрасль реагировала новыми способами защиты. Однако, традиционный подход к решениям сетевой безопасности не мог масштабироваться в достаточной мере для быстрорастущего бизнеса. Сложность управления средствами сетевой безопасности становилась всё выше, так как инфраструктура состояла из множества разрозненных фрагментов, пытающихся охватить каждый вектор потенциальной атаки. Очевидно, требовался другой подход.

Как появление UTM облегчило защиту корпоративных сетей

В 2003 году появились первые комплексные средства защиты. С лёгкой руки аналитиков консалтинговой компании IDC их начали называть универсальными шлюзами безопасности (UTM, unified threat management). По сути, этим термином обозначили устройство «всё в одном», объединившим в себе возможности антивируса, VPN, межсетевого экрана, контент- и спам-фильтров, а также систем обнаружения и предотвращения вторжений (IDS/IPS).

Ключевое преимущество такой технологии очевидно: вместо того, чтобы администрировать парк отдельных устройств, проще воспользоваться единым решением для защиты от всевозможных атак. Тем более, что производители предусмотрели централизованные интерфейсы управления разными службами, политиками и правилами, а также возможность гибко настраивать оборудование. Комплексное решение открыло и многие другие возможности:

• Межсетевые экраны в универсальных шлюзах безопасности защищают входящий и исходящий трафик от разнообразных угроз и типов атак;
• Различные антивирусные службы, средства защиты от шпионских программ и рекламного ПО могут работать одновременно и останавливать атаки на сетевом шлюзе;
• Система обнаружения и предотвращения вторжений (IDS/IPS) блокирует использование уязвимостей сети;
• Спам-фильтр выявляет и блокирует нежелательные электронные письма, спам и фишинговые атаки;
• Контент- и веб-фильтры позволяют управлять доступом к сайтам и данным с помощью единой панели управления;
• VPN упрощает работу с удалёнными офисами и сотрудниками;
• Упрощение инфраструктуры позволяет задействовать динамическую маршрутизацию и маршрутизацию на основе политик, а также установить несколько подключений к интернету внутри одной защищённой сети;
• Управление пропускной способностью и технологии предоставления разным классам трафика различных приоритетов в обслуживании (QoS) упрощают контроль над потоками данных.

Эти возможности, реализованные в рамках одного устройства, повысили общий уровень сетевой безопасности, снизили сложность управления ИТ-инфраструктурой и сократили расходы на её организацию и обслуживание. Благодаря этому многие способы защиты впервые стали доступны малому бизнесу и другим предприятиям, не имеющим возможности привлечь дорогостоящих специалистов по информационной безопасности.

Как появилось новое поколение брандмауэров

Новые итерации защитных решений ещё сильней расширили возможности некоторых UTM. В последних поколения производители постоянно совершенствуют обмен данными между сервисами и улучшают интеграцию со сторонними продуктами. В устройствах теперь применяется машинное обучение, искусственный интеллект и средства автоматизации, в том числе для оперативного реагирования на инциденты. Ранним версиям подобного оборудования, получившего расширенные возможности в сравнении с традиционными UTM, консалтинговое агентство Gartner — ключевая исследовательская компания на рынке ИТ — дала отдельное название ещё в 2011 году. Этот тип устройств назвали NGFW (next-generation firewall) — межсетевым экраном нового поколения.

Выделить такое оборудование в отдельный класс средств защиты аналитики решили, обнаружив появление всё больших различий между решениями «всё-в-одном». Тогда они посчитали, что традиционные UTM больше подходят для малого и среднего бизнеса, но не для корпораций. Межсетевые экраны, ориентированные на филиалы компаний, по их мнению, напротив отдалились от малых предприятий и сконцентрировались на внедрении решений для крупных организаций.

В чём разница между UTM и NGFW

В немалой степени появлению нового класса межсетевых экранов способствовали две ключевые проблемы в архитектуре универсальных шлюзов безопасности. Первая сложность заключалась в медленной работе устройства. Причина была в последовательной передаче пакетов между всеми движками: пока один из них не завершал работу, другой к ней не приступал. Из-за этого количество средств защиты, встроенных в оборудование, самым непосредственным образом отражалось на скорости работы: чем больше их было, тем медленней работал UTM. Чтобы как-то решить эту проблему и повысить скорость обмена данными, пользователям оставалось только отключать часть возможностей — например, IPS или антивирус.. Очевидно, это не позволяло в полной мере использовать потенциал оборудования.

Межсетевые экраны нового поколения решили эту проблему с помощью FPGA-чипов, параллельно работающих с одним и тем же трафиком. Для этого каждый чип использовали для своих задач: один процессор прошивали сигнатурами антивируса, другой — сигнатурами IPS и так далее. Чтобы такой чип начал выполнять другие функции, его можно перепрограммировать в любой момент. Таким образом и прошиваются все обновления в NGFW.

Другая проблема UTM заключалась в том, что выполнение любых файловых операций зависело от работы жёсткого диска. Учитывая среднюю скорость чтения с него, универсальный шлюз безопасности и близко не мог справляться с большими объёмами данных. Если 500 человек в компании решили бы скачать папку с файлами по сети Microsoft, то универсальный шлюз безопасности бы просто загрузился по максимуму и затем перестал работать. В лучшем случае, при наличии технологий вроде antivirus-bypass и ips-bypass, он бы автоматически отключился после превышения возможностей аппаратной части. По этой причине UTM в основном и использовали в небольших компаниях, иначе по мере роста скорости сети в UTM приходилось выключать один движок за другим, пока не останется одна только маршрутизация и пакетный межсетевой экран.

В брандмауэрах нового поколения эта проблема была решена в 2007 году. Тогда первый производитель NGFW добился того, что файлы больше не сохранялись на диск. Все операции по разбору трафика, раскодированию и сборке файлов для анализа антивирусом теперь происходили в памяти, что существенно увеличило производительность средств защиты и сделало их работу независимой от жёстких дисков.

Какие у NGFW есть возможности

Межсетевые экраны нового поколения объединили большее число средств защиты, чем UTM. Среди них можно выделить следующие преимущества:

• Автоматическая связь между сервисами в режиме реального времени позволяет изолировать устройства и помещать их в карантин после инцидента, пока ИТ-отдел не отреагирует на ситуацию;
• Управлять всем необходимым — политиками NAT, фильтрацией контента, группами пользователей, списками управления доступом, Wi-Fi и многим другим — можно с одного экрана;
• Технологии облачной песочницы позволяют помещать в карантин и «детонировать» потенциально опасные файлы;
• Особое внимание уделяется поддержанию производительности сети даже при одновременной работе нескольких комплексных служб безопасности;
• В NGFW интегрирована система обнаружения и предотвращения вторжений с технологией глубокого сканирования пакетов данных;
• Межсетевые экраны нового поколения обеспечивают стабильную производительность и простоту масштабирования по мере роста организации.

Наличие широких возможностей не имеет никакого значения, когда каждым продуктом нужно управлять по отдельности. Это не только затрудняет поддержание политик и правил в актуальном состоянии, но и приводит к несогласованной работе служб. Поставщик брандмауэра должен предлагать единый инструмент управления, позволяющий администратору легко вносить изменения в работу сервисов и сразу же распространять их по сети. Поэтому производители NGFW особое внимание уделяют единому интерфейсу контроля и управления (single-pane-of-glass). Основная задача этой разработки — дать администраторам доступ ко всем нужным данным и возможностям на одном портале или странице, чтобы при управлении сетью не нужно было переключаться между вкладками.

Когда новое поколение заменит старое

Несмотря на то, что NGFW — это «межсетевой экран нового поколения», от этого термина последние годы отходит и сама компания, внедрившая термин на рынок. Два года назад в отчёте «Магический квадрант Gartner для межсетевых экранов уровня предприятия» аналитики агентства отметили, что все производители уже предлагают в своих устройствах и IDS/IPS, и «песочницу», и инструменты контроля пользователей и приложений, и стороннюю аналитику угроз. По их мнению, термин «межсетевой экран корпоративного класса» и «next-generation firewall» уже стали синонимами, а потому термин «NGFW» более не актуален. В отчёте компания отмечает, что массовое замещение традиционных межсетевых экранов новыми произойдет уже в 2020-2021 году.