- безопасность
В 2018 году Gartner объединил универсальные шлюзы безопасности (UTM) и межсетевые экраны нового поколения (NGFW) в одном квадранте. С тех пор западные аналитики называют их одинаково — Network Firewalls.
Однако на российском рынке по-прежнему предлагают оба класса решений. Отличаются ли чем-то UTM и NGFW? И если да, то насколько существенна разница для бизнеса? Ответы — в этой статье.
Как появились UTM
До 2000-х фильтрацией сетевого трафика в компаниях занимались брандмауэры. Параметров отслеживания обычно было два — IP-адреса и порты. Затем такие решения стали обрабатывать трафик в динамике и работать с пакетами данных.
Со временем задачи и угрозы усложнялись, брандмауэры — тоже. В какой-то момент на мировом рынке стали появляться решения с отслеживанием соединений, функциями прокси-сервера и детекции подключений с нестандартных портов.
Параллельно компании стали активно закупать множество специализированных средств защиты. Зоопарк ИТ-решений постоянно пополнялся новыми: от VPN-серверов до спам-фильтров.
Позже появилась идея создать единое средство, которое бы включало в себя разные модули. Её реализовали сразу несколько крупных вендоров. Теперь, вместо того чтобы использовать множество сервисов и устройств, администратор подключал одно. Новое решение стали называть UTM (Unified threat management, или Универсальный шлюз безопасности).
Все необходимые параметры сетевой защиты оказались в едином устройстве и одном интерфейсе. Простота управления и безопасность из коробки сделали UTM универсальным решением, которое подошло многим компаниям. Особенно оценили его в компаниях, где обычно не хватало ресурсов на закупку и одновременное обслуживание нескольких ИБ-решений.
Постепенно в стандартный функционал UTM стали входить межсетевой экран, VPN, веб-фильтр, антиспам, антивирус и DLP. Все эти и другие возможности потом также появились в решении нового поколения — NGFW.
NGFW как эволюционный рост UTM
Термин NGFW (Next-generation firewal, или Межсетевой экран нового поколения) закрепился на рынке благодаря аналитикам Gartner. Произошло это с подачи разработчика Palo Alto, который первым представил решение с таким названием.
В 2011 году представители Gartner решили, что UTM теперь подходят только малому и среднему бизнесу. В то же время фаерволы нового поколения, по их мнению, должны были заинтересовать ИБ-руководителей крупных компаний.
Однако разделения продуктов по масштабу бизнеса не случилось: NGFW стали использовать не только в холдингах и корпорациях. Решения стали одинаково популярными во всех компаниях благодаря более продуманной архитектуре.
К тому времени UTM уже плохо справлялись с возросшим объёмом сетевого трафика. Универсальные шлюзы обрабатывали его медленно, так как движки каждого встроенного средства защиты запускались последовательно. В итоге чем больше функций было в UTM, тем дольше шла обработка одного сетевого пакета.
Процессы в NGFW стали запускаться одновременно, причём без потери производительности. Избавиться от медленной обработки трафика смогли благодаря встроенным специализированным чипам, а точнее — программируемым логическим интегральным схемам (ПЛИС).
Вторая архитектурная задача, которую решили создатели NGFW, касалась записи файлов на жёсткий диск. Если его производительность была низкой, то UTM не мог полноценно выполнять свои задачи. В лучшем случае прекращали работу какие-то функции шлюза, в худшем — он отключался полностью.
В NGFW появилась собственная память. Все файлы при обработке трафика уже не писались на жёсткий диск. И это существенно упростило и ускорило работу функций, которые встраивались в новые фаерволы.
Со временем NGFW стали обрастать новыми возможностями и преимуществами для бизнеса. К основным модулям безопасности таких решений сегодня относятся:
- фильтрация по URL,
- IDS/IPS,
- Application Control,
- аутентификация пользователей,
- DPI,
- антивирус,
- VPN,
- инспектирование SSL,
- антиспам.
Ещё об одном отличии говорит WatchGuard Technologies. По мнению известной ИБ-компании, разница в современных UTM и NGFW может касаться подхода бизнеса к управлению решением. Так, шлюзы безопасности больше нравятся компаниям, которые ищут простые варианты администрирования — дефолтные политики безопасности, стандартные отчёты и т. д. Если же нужна более тонкая настройка и кастомный подход к выстраиванию ИБ-процессов, то лучше обратить внимание на NGFW.
В целом эту разницу можно представить как поход в магазин за набором строительных инструментов. Если вам нужен базовый комплект со всем необходимым (стандартные отвёртки, молоток, рулетка и т. д.) — берёте простой бокс (UTM). Но если вы понимаете, что в нём нет нужного гаечного ключа на 12, то выбираете другой комплект (NGFW).
Что всё-таки выбрать: NGFW или UTM?
Резюмируем: существенное отличие между UTM и NGFW есть только в архитектуре. Благодаря этой разнице фаерволы нового поколения обычно производительнее, быстрее в работе и более гибкие в управлении.
При этом отличие в функциональности современных UTM и NGFW зачастую условное и зависит от возможностей конкретного вендора. Разные решения обычно включают одинаковый набор модулей безопасности, за исключением каких-то дополнительных возможностей. Например, в азиатский NGFW Sangfor входит WAF. В любом случае, рынок остаётся динамичным: угрозы постоянно меняются, и вендоры стремятся предложить актуальную защиту от них.
Вот почему компании при выборе UTM или NGFW чаще обращают внимание на другой фактор — удобство настройки продукта и его администрирования. Этот параметр может сильно отличаться в зависимости от продукта. Разобраться во всех нюансах настройки и мониторинга бывает непросто. Именно поэтому компании часто передают администрирование решений сервис-провайдерам.