К основному контенту

Чем отличается NGFW от UTM

Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.

Что было сначала? 

Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые смогли скупить несколько хороших разработок для работы нужного движка и соединить их работу внутри одного UTM устройства. Например, Check Point купил IPS у компании NFR, Cisco купила IPS у Sourcefire. Популярные марки видно в квадрате Gartner по UTM. В 2017 году лидерами UTM по мнению Gartner являются Check Point, Fortinet и Sophos.

Минусы архитектуры UTM. Почему появились NGFW? 


Рис 1. Пример архитектуры работы UTM.

Первой архитектурной проблемой UTM являлось то, что все движки внутри по очереди передавали друг другу сетевые пакеты и ждали когда предыдущий движок закончит работу, чтобы начать свою. В результате чем больше функций встраивает вендор в свое устройство, тем медленнее оно работает. В результате пользователям таких устройств приходится отключать IPS и антивирус или часть их сигнатур, чтобы трафик вообще ходил. То есть вроде платили как за устройство защиты, а пользуются только как роутером. Нужно было что-то придумать, чтобы движки защиты не ждали друг друга и работали параллельно.
Новым ходом производителей NGFW стало то, что в них использовали специализированные чипы, которые одновременно смотрят на тот же самый трафик. Это стало возможным, поскольку каждый процессор стал отвечать за свою функцию: в один прошиты сигнатуры IPS, в другой сигнатуры антивируса, в третий сигнатуры URL. Можно включать все сигнатуры во всех движках - трафик находится под полной защитой без снижения производительности. Программируемые чипы такого типа называются ПЛИС (программируемая логическая интегральная схема) или в английской литературе FPGA. Их отличие от ASIC в том, что они могут перепрограммироваться на ходу и выполнять новые функции, например, проверку новых сигнатур, после обновления микрокода или любые другие функции. Этим NGFW и пользуется - все обновления прошиваются непосредственно в чипы FPGA.


Рис 2. Пример архитектуры работы Palo Alto Networks NGFW.

Второй архитектурной проблемой UTM стало то, что все файловые операции требовали работы жесткого диска. Какая скорость чтения с жесткого диска? 100 Мегабайт в секунду. А что будет делать UTM, если у вас в ЦОД 10Гбит скорости? Если 300 человек в вашей компании решат скачать папочку с файлами по сети Микрософт (протокол SMB), то что сделает UTM? Плохие UTM просто загрузятся на 100% и перестанут работать. В продвинутых UTM на этот случай встроены различные механизмы автоотключения работы движков защиты: antivirus-bypass, ips-bypass и другие, которые выключают функции безопасности, когда загрузка аппаратной части превысит ее возможности. А если нужно не просто сохранить файл, но еще и распаковать архив? Скорость работы снижается еще. Поэтому UTM в основном применяются в маленьких компаниях, где скорости были неважны, либо где безопасность - опция. 
Практика показывает, что как только скорость сети возрастает, то в UTM приходится выключать все движки кроме маршрутизации и пакетного межсетевого экрана, либо просто ставить обычный межсетевой экран. То есть давно уже стояла задача как-то ускорить работу файлового антивируса. 
Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти. Это сильно повысило производительность устройств защиты и отвязало их от производительности жестких дисков. Скорости сетей растут быстрее скоростей жестких дисков. Только NGFW спасут безопасников. Сейчас по версии компании Gartner есть два лидера в NGFW: Palo Alto Networks и Check Point.

А как работают с приложениями 7 уровня в UTM и NGFW?

С появлением NGFW у заказчиков появилась новая возможность - определение приложений 7 уровня. Сетевые инженеры изучают семиуровневую модель сетевых взаимодействий OSI ISO. На 4 уровне этой модели работают протоколы TCP и UDP, что в последние 20 лет работы сетей IP считалось достаточно для анализа трафика и для управлением трафиком. То есть обычный межсетевой экран просто показывает IP адреса и порты. А что делается на следующих 5-7 уровнях? Межсетевой экран нового поколения видит все уровни абстракции и показывает что за приложение какой файл передало. Это сильно повышает понимание сетевых взаимодействий ИТ специалистами и усиливает безопасность, поскольку вскрывает туннелирование внутри открытых приложений и позволяет блокировать приложение, а не просто порт. Например, как блокировать skype или bittorent обычным межсетевым экраном старого поколения? Да, никак.
Производители UTM в итоге добавили движок определения приложений. Однако в них два движка управления трафиком - портовый 4 на уровне TCP, UDP и ICMP и на уровне поиска контента приложений в трафике типа teamviewer, tor, skype. Получилось, что у UTM несколько политик: одна управляет портами, вторая управляет приложениями. И это создает очень много трудностей, в результате политикой управления приложениями никто не пользуется.

На тему визуализации на уровне приложений прилагаю презентацию. Также это затрагивает тему Shadow IT. Но про это позже..


Прилагаю еще одно независимое мнение по поводу чем отличается UTM и NGFW:



Комментарии

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. "Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти." Объясните другими словами, пожалуйста, так как не до конца понятно... Когда пакеты приходили на UTM, то они сохранялись на диск и после уже проверялся антивирусом, да? А как понять это: "проверки антивирусом стали производиться в памяти"? Заранее спасибо.

    ОтветитьУдалить

Отправить комментарий

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.