19 декабря 2021
471

Рынок UTM

Определение Gartner:

“Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) and messaging security (anti-spam, mail AV).”

Унифицированное управление угрозами (UTM) - это конвергентная платформа продуктов для точечной защиты, особенно подходящая для малых и средних предприятий (SMB). Типичные наборы функций делятся на три основных подгруппы, все в рамках UTM: брандмауэр / система предотвращения вторжений (IPS) / виртуальная частная сеть, безопасность безопасного веб-шлюза (фильтрация URL-адресов, веб-антивирус [AV]) и безопасность обмена сообщениями (защита от спама, mail AV).

Под это определение попадают платформы сетевой безопасности, ориентированные в основном на небольшие компании (Small) и компании чуть побольше (Midsize) (под небольшими компаниями (Small and Midsize Business, SMB) Gartner считает компании с численностью сотрудников от 100 до 1000 человек). UTM решения как правило содержат типовую на сегодняшний день функциональность межсетевого экрана, системы предотвращения вторжений (IPS), VPN-шлюз, систему фильтрации веб-трафика (фильтрация по URL, потоковую антивирусную систему для веб-трафика), так и систему фильтрации почтового трафика (фильтрация спам-сообщений и антивирусную систему для почтового трафика), ну и также, эти системы включают базовую систему маршрутизации и поддержку различных WAN-технологий.

Интересно то, что, согласно предсказаний Gartner, рынок межсетевых экранов до 2020г. остался примерно в таком же состоянии, как и 3 года назад. В 2022г. по предсказаниям Gartner в обиход в SMB начнут плотно входить решения класса Firewall as a Service (FWaaS), т.е. облачные межсетевые экраны, куда будет туннелироваться клиентский трафик, причем доля новых инсталляций по SMB-рынку будет составлять более 50%, по сравнению с текущей долей в 10%.

По мнению Gartner, к 2022 году 25% пользователей сегмента SMB будут использовать свой межсетевой экран как:
  • средство мониторинга и промежуточного брокера для обеспечения инвентаризации и контроля использования ресурсов SaaS,
  • как средство управления мобильными устройствами,
  • или средство обеспечения политик безопасности на конечных пользовательских устройствах (на текущий момент менее 2% пользователей используют данный функционал на межсетевых экранах).
  • Решения FWaaS будет более популярно и для распределенных филиальных структур, данное решение будут использовать 10% новых инсталляций по сравнению с менее чем 1% в 2017ом году.

Поскольку решения UTM ориентированы на относительно небольшие компании (по мнению Gartner), то понятно, что получив весь функционал из одной коробки, конечный заказчик так и или иначе будет довольствоваться компромиссами с точки зрения производительности, эффективности сетевой безопасности и функциональности, однако для таких заказчиков также важно, чтобы решение легко управлялось (управление через браузер, например), администратора решения можно было быстрее обучить ввиду упрощенного управления, чтобы решение содержало в себе встроенные средства хотя бы базовой отчетности, для некоторых заказчиков также важно наличие локализованного ПО и документации.

Gartner считает, что потребности заказчиков SMB и заказчиков Enterprise сильно отличаются с точки зрения потребностей у Enterprise в возможностях реализации более сложных политик управления, расширенных возможностях в реализации сетевой безопасности. К примеру заказчики сегмента Enterprise, имеющие распределенную филиальную структуру, часто имеют филиалы, которые могут совпадать по размеру с целой компанией SMB-сегмента. Однако критерии выбора оборудования для филиала, как правило, диктуются выбором оборудования в головном офисе (обычно в филиалы выбирается оборудование того же вендора, что используется в головном офисе, т.е. Low End оборудование Enterprise класса), так как заказчику необходимо иметь уверенность в обеспечении совместимости оборудования, а кроме того, такие заказчики часто используют единую консоль управления для обеспечения управляемости филиальной сети (где может и не быть специалистов соответствующего профиля) из головного офиса. Кроме того, немаловажным является и экономическая составляющая, корпоративный заказчик может получить дополнительные скидки за «объем» от производителей межсетевых решений, включая решения для филиальной сети. По этим причинам Gartner рассматривает решения для распределенных филиальных структур Enterprise заказчиков в квадратах решений для Enterprise-сегмента (NGFW/Enterprise Firewall, IPS, WAF и т.д.).

Отдельно Gartner выделяет заказчиков с распределенной сетью высоко автономных офисов (типичный пример – ритейл сети, где общее количество сотрудников может быть более 1000 человек), у которых, как и у типичного SMB-заказчика, есть довольно ограниченные бюджеты, очень большое количество удаленных площадок и обычно небольшой ИТ/ИБ-персонал. Некоторые UTM производители даже специально делают акцент на решениях для таких заказчиков более чем для традиционного SMB.

В 2020м году спрос на межсетевые экраны значительно вырос в связи с переводом сотрудников многих компаний на удаленный режим работы из дома и необходимостью обеспечить безопасную связь этих надомников с офисом.

Стабильная тройка зарубежных производителей - лидеров квадранта Gartner вот уже несколько лет:

  1. Преимуществом межсетевых экранов Check Point являются централизованное управление с помощью облака и мощные средства контроля на основе политик и обнаружения угроз, а также ориентированная на облака стратегия развития. Однако многие клиенты компании недовольны ее ценовой политикой и качеством технической поддержки.
  2. Плюсами продуктов Fortinet являются мощный функционал SD-WAN, использование открытых API-интерфейсов для интеграции с продуктами третьих фирм, централизованное управление и выгодное соотношение цены и производительности вместе с удобной схемой лицензирования. В то же время в межсетевых экранах Fortinet еще слабо реализована поддержка облаков, и клиенты компании жалуются на слишком сложный интерфейс управления этими устройствами.
  3. Palo Alto Networks одним из первых производителей аппаратных экранов вывел на рынок решение «межсетевой экран как сервис» (FWaaS), и ещё в продуктах этого вендора применяется строгий гранулярный контроль приложений. Однако продукты этого вендора — одни из самых дорогих на рынке, у них нет поддержки централизованного управления из облака и они плохо масштабируются свыше 60 тыс. пользователей.

В число «претендентов» магического квадранта Gartner по межсетевым экранам попали Cisco, Huawei и Juniper Networks.

В межсетевых экранах Cisco используются мощные функции защиты от вредоносного кода, клиенты компании высоко оценивают их возможности по развертыванию и настройке VPN между сайтами. Однако вендор параллельно развивает несколько линеек межсетевых экранов для разных сценариев применения и в основном эти продукты покупают те клиенты, для которых сетевое оборудование Cisco является корпоративным стандартом.

Межсетевые экраны Huawei упрощают управление доступом к развернутым в облаках приложениям SaaS, у них привлекательное соотношение цены и производительности, но у китайского вендора пока нет решения FWaaS, для управления из облака реализован только базовый функционал. Кроме того, его межсетевые экраны не интегрированы с ведущими поставщиками решений информационной безопасности.

Межсетевые экраны Juniper хорошо интегрированы с другим сетевым оборудованием этого вендора, они поддерживают многие публичные облака и используют мощные средства координации политик и составления отчетов. Основным недостатком продуктов Juniper эксперты Gartner считают ограниченные возможности контроля приложений.

В реестре операторов персональных данных Роскомнадзора имеется уже 404 тысячи записей, в реестре федеральных государственных информационных систем Минкомсвязи России — 341 система, по предварительным расчётам ФСТЭК России в стране — 25 тысяч объектов критической информационной инфраструктуры. Эти системы требуется защищать (большинство — в обязательном порядке) с применением сертифицированных межсетевых экранов и систем обнаружения вторжений.

Выбрать подходящий и соответствующий требованиям регуляторов продукт для корпоративной сети — проблемная задача для большинства организаций.

Кроме требований к самому средству защиты информации, которые предъявляются при сертификации и ограничивают присутствие зарубежных производителей на российском рынке информационной безопасности, существуют также и директивы по импортозамещению для государственных заказчиков.

С 2016 года в соответствии с постановлением Правительства РФ от 16 ноября 2015 года № 1236 такие заказчики обязаны закупать российское программное обеспечение во всех случаях, кроме тех, когда отечественные разработки с необходимыми функциональными, техническими или эксплуатационными характеристиками отсутствуют. При этом соответствующую потребность нужно обосновать — в порядке, предусмотренном законом о контрактной системе в сфере государственных закупок. Российским признаётся ПО, сведения о котором внесены в единый реестр российских программ и баз данных. Это ещё больше ограничивает круг продуктов, которые используются при защите государственных систем.

Обзор сертифицированных межсетевых экранов и систем обнаружения вторжений: перейти на источник: https://www.anti-malware.ru/analytics/Market_Analysis/firewalls-and-intrusion-detection-systems-certified-by-FSTEC (по состоянию на март 2020 года).

NGFW — межсетевые экраны следующего поколения

NGFW (Next-Generation Firewall) — новое поколение решений для обеспечения информационной безопасности, которые кроме стандартного функционала фаервола вмещают в себя множество дополнительных функций: защиту от атак, полностековое инспектирование трафика (http, https), сигнатурное определение типов приложений, политики управления приложений.

NGFW по своему комплексному функционалу похожи на UTM-системы, но предназначены больше для высоких скоростей и больший объёмах трафика, имею лучшую производительность за счёт архитектуры — разные защитные функции могут выполняют разные процессоры, имеют более эффективные инструменты для контроля приложений.

Межсетевой экран нового поколения был определен аналитиками Gartner как технология сетевой безопасности для крупных предприятий, включающая полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик.

При изучении возможности использования межсетевого экрана нового поколения самое главное — определить, обеспечит ли такой экран возможность безопасного внедрения приложений в организации.

На первом этапе необходимо получить ответы на следующие вопросы:

  • Позволит ли межсетевой экран нового поколения повысить прозрачность и понимание трафика приложений в сети?
  • Можно ли сделать политику управления трафиком более гибкой, добавив дополнительные варианты действий, кроме разрешения и запрета?
  • Будет ли ваша сеть защищена от угроз и кибератак, как известных, так и неизвестных?
  • Сможете ли вы систематически идентифицировать неизвестный трафик и управлять им?
  • Можете ли вы внедрять необходимые политики безопасности без ущерба производительности?
  • Будут ли сокращены трудозатраты вашей команды по управлению межсетевым экраном?
  • Позволит ли это упросить управление рисками и сделать данный процесс более эффективным?
  • Позволят ли внедряемые политики повысить рентабельность работы предприятия?

В случае положительного ответа на вышеприведенные вопросы можно уже делать следующие выводы и обосновать переход со старых межсетевых экранов на межсетевые экраны нового поколения. После выбора поставщика или узкого круга поставщиков, последует этап оценки физических функций межсетевого экрана, выполняемой с применением трафика различных типов и комбинаций, а также объектов и политик, которые точно передают особенности бизнес-процессов организации.

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Защита корпоративных сетей базируется на межсетевых экранах, которые должны не только фильтровать потоки информации по портам, но и контролировать данные, передаваемые по наиболее популярным из них. По оценкам экспертов SophosLabs компании Sophos, до 80% нападений совершаются с использованием веб-браузера по протоколам HTTP или HTTPS, однако простым фильтрованием этих протоколов проблему не решить. Таким образом, к новому поколению межсетевых экранов, совмещенных с системами обнаружения вторжений, появляются новые требования.

Межсетевые экраны нового поколения внедряют для решения следующих задач:

  • контроля отдельных веб-приложений;
  • обнаружения вторжений по наиболее популярным протоколам, таким как HTTP, SMTP и POP3;
  • создания VPN-соединений для удаленного подключения мобильных пользователей;
  • оптимизации сетевого взаимодействия.

Наличие систем обнаружения вторжений (СОВ) требуется также при обработке персональных данных, защите банковских и платежных систем, а также и других сложных информационных инфраструктур организаций. И их совмещение с межсетевыми экранами очень удобно и выгодно для организаций.

Решения нового поколения от российских производителей

  • «Континент 4» (UTM), АПКШ «Континент» (межсетевой экран, IDS), «СОВ Континент» (IDS\IPS) компании «Код Безопасности»,
  • Traffic Inspector Next Generation — UTM-система российского производителя «Смарт-Софт»,
  • UserGate UTM производства компании UserGate,
  • ALTELL NEO компании «АльтЭль»,
  • ViPNet IDS, ViPNet Coordinator (межсетевой экран) компании «ИнфоТеКС»,
  • «С-Терра СОВ» (IDS), «С-Терра Шлюз» (межсетевой экран) компании «С-Терра»,
  • Межсетевые экраны компании «Элтекс».

Решения иностранных производителей

На мировом рынке множество игроков с широким ассортиментом продуктов для повышения уровня информационной безопасности:

  • Check Point,
  • Fortinet Fortigate,
  • Cisco Systems,
  • WatchGuard,
  • Sophos,
  • HUAWEI,
  • Juniper,
  • PaloAlto,
  • IBM,
  • Kerio,
  • Dell,
  • HPE,
  • McAfee и другие.

Многие решения сертифицированы ФСТЭК.

Какое решение выбрать

Выбор зависит от необходимого уровня защищённости, сферы деятельности (в банковской сфере, например, свои требования), компетенций штатных специалистов, имеющихся бюджетов.

Небольшим компаниям, деятельность которых не попадает под требования регуляторов по обеспечению информационной безопасности, больше подходят универсальные средства защиты — UTM-решения.

Организациям, у которых большая нагрузка по трафику, и есть специфические задачи, больше подходит разделение функционала по защите сети на разные устройства и системы, где за их работу отвечают отдельные люди или подразделения.

Для обеспечения защиты персональных данных необходимо применять средства защиты, сертифицированные ФСТЭК.

Для защиты данных, составляющих государственную тайну, нужно проводить специальные проверки и специальные исследования оборудования в лабораториях.

Личный кабинет
Ваш логин
Ваш пароль
117105, г.Москва, Варшавское шоссе, д.28 A
Посмотреть на карте