English

Belépés


UTM, avagy a hálózatbiztonság svájci bicskája

Napjainkban a hálózatbiztonság komplexitásának csökkentése, és a védelem átláthatóvá tétele kulcskérdéssé vált. Ennek következtében a magas fokú integráltsággal rendelkező, ugyanakkor nagy teljesítményt biztosító UTM-eszközök előtérbe kerültek.

Az informatikai biztonság egyik legfontosabb alappillérének a hálózatbiztonság számít, ami ennek megfelelően különös figyelmet követel. Egy kis rés a pajzson elég ahhoz, hogy egy teljes IT- infrastruktúra kiszolgáltatottá váljon, és ezáltal komoly károk következzenek be. A kockázatok mérséklése azonban korántsem egyszerű feladat, ugyanis a masszív védelmet úgy kell megtervezni, hogy az megfelelő rugalmasságot biztosítson a folyamatosan megújuló fenyegetettségek elleni fellépés során. A különféle támadási felületek csökkentése érdekében megannyi biztonsági összetevő hatékony implementálására van szükség, méghozzá olyan módon, hogy azok integrálhatósága, felügyelhetősége és menedzselhetősége a lehető legmagasabb szintet érje el.

Sokáig, amikor a hálózatbiztonság szóba került, akkor általában csak a tűzfalakra terelődött a figyelem. Aztán ahogy egyre gyakrabban ütötték fel a fejüket a mind kifinomultabb és mind több támadási vektorral visszaélő incidensek, úgy fokozódott a kereslet az olyan megoldások iránt, mint például a behatolásdetektálók, a behatolásmegelőzők, a tartalomszűrők stb. Emellett az informatikai csapatokat további kihívások elé állította a távoli munkavégzés térhódítása, aminek biztonságos, megfelelően kontrollálható kivitelezése újabb megoldások alkalmazását tette szükségessé. Az egyre sokasodó védelmi eszközök viszont olyan komplex, sok esetben átláthatatlan, heterogén rendszert eredményeztek, amelyekről hamar bebizonyosodott, hogy a hatékony üzemeltetésük nem – vagy csak komoly áldozatok árán – valósítható meg.

Szerencsére a védelmi nehézségeket nemcsak a vállalatok és intézmények ismerték fel, hanem a biztonsági technológiák fejlesztői is, amivel beköszöntött a számos komponenst integráló UTM (Unified Threat Management) eszközök kora. Ezek napjainkban is óriási fejlődésen mennek keresztül, miközben az irántuk mutatkozó piaci kereslet folyamatosan nő.

 

A piac is igazolja az UTM létjogosultságát

Az UTM-piac a hálózati és hálózatbiztonsági megoldások szállítói számára különösen fontos terepet jelent, ami annak fényében egyáltalán nem meglepő, hogy a bevételeik egy jelentős része már e védelmi termékek értékesítéséből származik. Az IDC előrejelzése szerint idén a globális hálózatbiztonsági termékek piacának 40 százalékát az UTM-megoldások fogják adni.

Természetesen a kereslet növekedése és az így kínálkozó lehetőségek sok gyártót vonzottak e területre, aminek következtében komoly verseny alakult ki, különösen, ami a funkcionalitást illeti. Ez a végfelhasználók számára egyrészt jó hír, hiszen mind korszerűbb technológiák birtokába kerülhetnek, ami sok terhet vehet le a vállukról. Másrészt viszont a bőség zavara miatt meglehetősen nehéz eldönteni, hogy mely vállalatok termékeit érdemes alaposabban is szemügyre venni, majd bevezetni. Ehhez próbált segítséget nyújtani a Gartner, amely a Magic Quadrant jelentésével az UTM-piacot is górcső alá vette. Vizsgálta a legmeghatározóbb gyártók elképzeléseit, stratégiáit, vízióit, és azok értékelésével kialakította a saját piaci felosztását, amely a következőképpen fest:

A piacvezető cégek a mátrix jobb felső sarkában találhatóak meg.

 

Hol tartunk most?

Az első generációs UTM-eszközök elsősorban a tűzfalak képességeinek kiterjesztését célozták, így plusz szolgáltatásként behatolásdetektáló, valamint -megelőző technológiákkal, VPN-képességekkel egészültek ki, és esetenként megjelent bennük néhány antivírus funkció. Aztán a későbbiekben a gyártók pontosan felmérték azt, hogy az UTM ennél többre hivatott, és töretlenül folytatták a fejlesztéseket. Így az eszközökben megjelent a tartalomszűrés, az SSL VPN, az alkalmazásvezérlés, a bizonyos szintű hozzáférés-szabályozás, a vezeték nélküli hálózatok védelme és a végpontok hálózatalapú felügyelete is.

Az UTM-ekre jellemző funkciógazdagság azonban problémákat is a felszínre hoz, ugyanis minél több integrált biztonsági modulnak kell vizsgálnia a hálózati adatforgalmat, annál nagyobb késleltetés jelentkezik. Ez pedig a kommunikáció hatékonyságát igencsak alááshatja. Így nem csoda, hogy a hálózatbiztonsági megoldások gyártói komoly erőforrásokat áldoznak a hardverfejlesztésekre. Napjainkban már korántsem csak általános célú processzorok teljesítenek szolgálatot a biztonsági appliance-ekben, hanem ASIC (Application Specific Integrated Circuit) chipek is. Ezeket a tervezési elveket követi a Fortinet is, amely a nagyteljesítményű UTM-jeinek esetében a hagyományos CPU-k mellett többek között külön processzort használ a tartalomelemzéshez, a hálózati adatforgalom feldolgozásához, valamint a speciális biztonsági feladatokhoz.

A teljesítményre nagy szükség van, amit egyebek mellett az Infonetics egyik felmérése is alátámasztott: az ezer főnél több alkalmazottat foglalkoztató vállalatok 80 százaléka már olyan platformok felé kacsintgat, amelyek 100-199 Gbps-os aggregált áteresztőképességgel rendelkeznek. „A nagysebességű interfészek önmagukban még semmire sem jók, ha nincs meg a megfelelő áteresztőképesség” - nyilatkozta Jeff Wilson, az Infonetics szakértője.

 

A funkciók megvannak, a sebesség adott! Mi kellhet még?

Az eddigiek alapján kijelenthető, hogy az UTM koncepció számos előnnyel rendelkezik azon védelmi megoldásokkal szemben, amelyek az egyes biztonsági feladatokat különálló, specifikus módon kezelik. A szervezetek mindent egy felületről kezelhetnek, egyben megvásárolhatnak, valamint bevezethetnek, és nem utolsó sorban nem kell bajlódniuk az egyes összetevők közötti kompatibilitás megteremtésével. Azonban az UTM-gyártók ennyivel még nem érik be, hiszen ha egyszer már a hálózatbiztonság központi részévé teszik a megoldásaikat, akkor igyekeznek megadni a lehetőséget arra, hogy a centralizált megközelítés még inkább kiaknázható legyen. Ezzel pedig el is érkeztünk ahhoz a ponthoz, amikor az UTM-ek végre a nevükhöz méltó módon képessé válnak az egységesített fenyegetettségkezelés megvalósítására.

„A legnagyobb előrelépés, hogy az UTM elmozdult az egyszerű multifunkciós biztonsági eszközöktől az egységes menedzsment felé” – nyilatkozta  Charles Kolodgy, az IDC kutatási alelnöke. A szakember szerint ezzel az UTM olyan platformmá válik, amely a többfunkciós, több dobozból álló rendszereket központi felügyelettel vértezi fel. Esetenként e biztonsági eszközök lehetőséget adnak hálózati feladatok (mint például az útválasztás) elvégzésére, és egyben vezeték nélküli hozzáférési pontokként is funkcionálhatnak. Ezzel pedig megvalósul a hálózati és a biztonsági képességek összefonódása.

Felmerülhet a kérdés, hogy miért van nagy jelentősége annak, hogy a biztonság a hálózati infrastruktúrák szerves részévé váljon. Kolodgy szerint a különféle biztonsági termékeket be kell vonni egy olyan stratégiába, amely mélységi védelmet biztosít. Azonban a hagyományos módon kialakított védelmi szintek különféle hálózati szegmenseket fednek le, és gyakran függetlenül működnek egymástól. Az integráció hiánya pedig a biztonság rovására mehet, ezért a hálózati és biztonsági funkcionalitás egy platform alá történő bevonása igencsak célravezető megoldásnak tűnik.

 

Átláthatóság és gyors reagálás központosítással

Amikor az UTM-megoldások veszik át a főszerepet a hálózatbiztonsági kockázatok kezelése során, akkor adja magát a lehetőség a monitorozás és a felügyelet központosítására. Ez több szempontból is kifizetődő lehet. „Ha egy szervezet ezer telephellyel rendelkezik, akkor nem engedheti meg magának, hogy mindenhova állítson egy szakembert, aki ügyel a biztonsági házirendek betartására. A centralizálás viszont lehetőséget ad arra, hogy egy e feladatra dedikált, kisebb biztonsági csoport is lemenedzselje a teljes környezetet. Emellett pedig a házirendek egész szervezetre kiterjedő, konzisztens betartatására nyílik mód” - vélekedett Kolodgy.

Az UTM a központosított szemléletmódnak köszönhetően nemcsak a kockázatcsökkentő intézkedések, szabályok érvényre juttatását segíti elő, hanem egyúttal nagyobb átláthatóságot is teremt a teljes hálózati infrastruktúra esetében. Ennek pedig nem kizárólag a hálózatüzemeltetők örülhetnek, hanem a biztonságért felelős szakemberek is. Így ugyanis egy-egy támadásról vagy annak előjeleiről hamarabb szerezhetnek tudomást. A korai észlelés pedig kétségtelenül fokozza az incidensreagálási képességeket, illetve annak hatékonyságát. Mindez már csak azért is érdekes, mert az egyes védelmi összetevők (tűzfal, behatolásdetektáló, antivírus) egymással együttműködnek, egységesen naplóznak, és az események közötti korrelációk felállításával a hálózati adatforgalomban jelentkező anomáliák gyorsabban szűrhetők ki. Egyes gyártók pedig nemcsak egy-egy appliance-en belül képesek az eseménykezelésre, hanem azok tetszőleges csoportján belül is. Elég ha csak a Fortinet által kifejlesztett FortiAnalyzer megoldásra gondolunk, amely a biztonsági eszközökről gyűjtött naplóadatok feldolgozására, elemzésére, kiértékelésére és vizualizációjára hivatott.

Tegyünk rendet a biztonság segítségével!

A vállalatok, intézmények menedzsmentje egyre nagyobb teljesítményű működést, mind több alkalmazás, informatikai és mobil eszköz bevezetését, üzemeltetését követeli meg az IT-részlegektől. Az ilyen módon több gyártótól függő, heterogén, a külvilág felé egyre nyitottabbá váló IT-infrastruktúrákban előbb-utóbb muszáj bevezetni olyan megoldásokat, amelyek a feladatokat, folyamatokat egységes mederbe terelik, és átláthatóvá, kezelhetővé teszik azokat. E tekintetben is sokat segíthet az UTM-szemlélet alkalmazása függetlenül attól, hogy kis- vagy nagyméretű cégekről beszélünk. A kisvállalatoknak ugyanis éppen olyan fenyegetettségekkel kell szembe nézniük, mint a nagyobb társaiknak, miközben jóval kevesebb erőforrás áll rendelkezésükre megfelelő szakembergárda foglalkoztatására. Ennek megfelelően az UTM-gyártók különféle teljesítményű, funkcionalitású megoldásokat kínálnak, amelyek több esetben jól skálázhatók, és kellő redundancia, hibatűrés mellett alkalmazhatóak.

Összefoglalásként álljanak itt Charles Kolodgy meglátásai arról, hogy miért is néznek továbbra is nagy jövő elé az UTM-eszközök:

  • problémamentes kommunikációt biztosítanak az egyes termékek között,
  • átláthatóságot teremtenek az IT-környezetekben,
  • növelik a teljesítményt, és ezáltal csökken a hálózati késleltetés,
  • közvetlen módon teszik lehetővé a biztonsági házirendek érvényre juttatását.