
Межсетевые экраны: UTM, NGFW-системы, NTA, NDR
Безопасность
Время чтения
6 минут
Мы уже начали знакомиться с межсетевыми экранами, IPS и IDS-системами — популярными программными, аппаратными и программно-аппаратными инструментами обнаружения действий злоумышленников и защиты от них.
Продолжая тему расскажем о UTM, NTA и NGFW-системах: их особенностях, возможностях и отличиях.
Что такое UTM
UTM (Unified Threat Management) — универсальные шлюзы безопасности, представляющие собой комплексное средство защиты от внутренних и внешних атак. UTM позиционируются в качестве решения «все в одном» и объединяют в себе возможности VPN, межсетевого экрана, антивируса, спам- и контент-фильтра, систем обнаружения и предотвращения вторжений.
Главное преимущество универсальных шлюзов безопасности — многозадачность, предоставляющая одно решение вместо администрирования десятка разрозненных устройств или программ.
Функционал UTM
Благодаря объединению многих функций UTM могут:
защищать входящий и исходящий трафик от разных типов атак и угроз;
блокировать вирусы, шпионские программы и рекламное ПО;
обнаруживать и предотвращать вторжения;
блокировать спам, 0-day атаки и многое другое.
Многозадачность UTM позволяет упростить ИТ-инфраструктуру и повысить общий уровень сетевой безопасности.
Что такое NGFW-системы
NGFW (Next-Generation Firewall) — межсетевой экран нового поколения, имеющий функции межсетевого экрана, систем защиты каналов и обнаружения вторжений, глубокого анализа, фильтрации веб-трафика и электронной почты, а также разграничения прав доступа пользователей.
В аппаратной платформе NGFW для реализации и ускорения обработки различного функционала могут использоваться специальные аппаратные блоки (ASIC). Таким образом, операции сканирования на вирусы, функции IDS и IPS, антиспама не нагружают центральный процессор.
NGFW является результатом развития системы UTM (Unified Threat Management), которая также имела различные функции защиты. Минус этой системы заключался в том, что большое количество функций включенных в систему вендором задерживало процесс ее работы.
Функционал NGFW
NGFW-системы могут применяться для:
изолирования устройств при обнаружении несанкционированных действий;
управления политиками NAT, фильтрацией трафика, группами пользователей;
безопасного «вскрытия» потенциально опасных файлов в специальной изолированной среде;
глубокого сканирования трафика с помощью интегрированных систем обнаружения и предотвращения вторжений;
объединения всех доступных данных в удобный реестр.
NGFW предоставляется вендорами в качестве программно-аппаратных решений и готовых образов виртуальных машин, которые легко масштабируются под нужды клиентов.
Помимо программно-аппаратного NGFW, также можно использовать виртуальный NGFW. Решение является гибко настраиваемым средством организации и защиты межсетевого взаимодействия и может быть частью комплексного решения совместно с другими сервисами кибербезопасности.
Межсетевой экран FortiGate (NGFW)
Межсетевой экран следующего поколения FortiGate обеспечивает комплексную сетевую защиту корпоративных ресурсов, размещаемых в облаке. Сервис находится на стадии Preview и не тарифицируется.
Подробнее
Различия между UTM и NGFW
Основное отличие UTM и NGFW-систем заключается в алгоритме работы, а именно в обработке и анализе поступающего трафика.

Применение последовательного и параллельного принципа обработки трафика в UTM и NGFW предопределяет разницу в скорости работы — NGFW-системы быстрее.
Кроме того, пропускная способность UTM-систем ниже, чем NGFW-систем. В NGFW-системах трафик не сохраняется на диск, а анализируется в выделенной памяти. Поэтому происходит существенное увеличение пропускной способности для ряда операций.
Помимо этого, в некоторых NGFW есть специальные аппаратные блоки (ASIC), которые позволяют ускорять обработку трафика не нагружая центральный процессор устройства. Причем для каждой цели может быть свой ASIC. Примером такого аппаратного блока могут быть решения компании FortiNet.
UTM и NGFW-системы являются модульными средствами защиты. В зависимости от состава модуля и производителя они могут реализовывать такой функционал как:
проверка состояния;
пропускная способность и производительность;
фильтрация трафика на основе IP, порта и протокола;
NAT и VPN;
сервисы идентификации и проверки репутации;
управление пропускной способностью;
IPS;
антивирус и антиспам;
защита электронной почты;
DLP;
контент/веб-фильтрация.
Итак, UTM и NGFW-системы относятся к периметровым средствам защиты. Чтобы предоставить высокий уровень безопасности, их недостаточно. UTM и NGFW-системы не могут предоставить защиту от целенаправленных атак, локализовать угрозу, точно выявить пораженные узлы и показать данные для проведения полноценного расследования. Для выполнения этих задач созданы решения класса NTA. Также их называют NDR-системами, что является сокращением от Network detection and response. NTA и NDR-системы обеспечивают защиту внутренней сети от вредоносных действий.
Что такое NTA и NDR
NTA и NDR (Network Traffic Analysis и Network Detection and Response) — системы, предназначенные для перехвата и анализа сетевого трафика, обнаружения сложных и целевых атак, ретроспективного изучения сетевых событий, распознавания действий злоумышленников и реагирования на них.
Системы NTA и NDR задействуют в своей работе множество методик и техник, в том числе поведенческий анализ и машинное обучение. Это позволяет им легко адаптироваться к среде и работать в сетях любого масштаба, независимо от их архитектуры и особенностей.
Функции NTA и NDR
анализ внешнего и в большинстве случаев внутреннего трафика с учетом большого числа периметровых и инфраструктурных протоколов (HTTP, DNS, SMTP, SMB, LDAP, DCERPC);
обнаружение подозрительных и вредоносных активностей через поведенческий анализ, машинное обучение, ретроспективный анализ и другие методики;
хранение информации по уже обработанному трафику для последующего расследования: определения цепочки атаки, локализации пораженных узлов и оценки ущерба.
Оптимальный выбор: IDS, IPS, UTM, NGFW или NTA и NDR?
Для принятия решения о выборе того или иного инструмента стоит предварительно сравнить их параметры и возможности.

При выборе средства обнаружения угроз нужно оценивать текущие потребности бизнеса, в том числе с учетом потенциальных рисков — внутренние или внешние угрозы, частоту атак и другие факторы.
Резюме
В условиях участившихся кибератак своевременное обнаружение угроз, их идентификация и противодействие — залог сохранения безопасности личных или корпоративных данных, файлов и других сведений.
Это обеспечивает необходимость использования программных и аппаратных средств киберзащиты, включая межсетевые экраны, IDS, IPS, UTM, NGFW, а также NTA и NDR. Каждый из инструментов имеет свои преимущества, сценарии использования и сферы назначения. Как классические, так и новые системы, лучше применять в комбинации друг с другом. Такой подход позволит максимально обезопасить используемые устройства и данные на них.
«Важно заметить, что не существует универсального рецепта для обеспечения защиты информации автоматизированной системы с применением указанных в статье средств. Проектирование необходимо начинать с моделирования угроз для вашей инфраструктуры — учитывая ее подбирать и настраивать средства защиты информации (СЗИ). Совместно с использованием СЗИ возможно эффективное применение риск-ориентированного подхода при оценке угроз безопасности. Вне зависимости от выбранного метода, защитой организации должны заниматься профессионалы каждого направления. По окончании построения системы защиты информации желательно провести оценку ее эффективности», — комментирует Сергей Волков, директор центра киберзащиты SberCloud.
SberCloud предоставляет возможность подключения межсетевого экрана NGFW для обеспечения комплексной сетевой защиты корпоративных ресурсов в облаке — заполните форму ниже, чтобы узнать подробности о сервисе.
Вам может понравиться


Что может chmod: как управлять доступами к файлам и папкам в Linux

Как узнать IP-адрес в Linux через командную строку

Как узнать IP-адрес своего компьютера

Система MySQL: что это и для чего нужна

Команды kill и killall в Linux: как завершить ненужные процессы

Работа с файлами в Linux: их создание и организация через терминал

Стандарт Tier III для дата-центра: что значит и почему это круто

Какие новости за декабрь и начало января — дайджест Cloud.ru

Что такое FTP-протокол и как настроить FTP сервер

Белые и серые IP, динамические и статические - в чем различие

Как защищать сайты и приложения в облаке от DDoS-атак

Какие новости за ноябрь — дайджест Cloud.ru

BAT-файлы: что это такое, зачем они нужны и как их создавать

Гайд по протоколу HTTP: расшифровка, структура и механизм работы

Межсетевой экран, firewall и брандмауэр: что это, в чем между ними разница и зачем они нужны

Kubernetes на Cloud.ru Evolution: возможности и преимущества

Какие новости за октябрь — дайджест Cloud.ru

Как создать сетевую архитектуру для размещения межсетевых экранов на платформе Облако VMware

Рассказать про технологии лампово, или Как мы провели конференцию GoCloud Tech для инженеров и...

Какие новости за сентябрь — дайджест Cloud.ru

Высокоресурсные вычисления: роль суперкомпьютеров в жизни и бизнесе

Реферальная программа Cloud.ru: как устроена и как на ней зарабатывать

Сетевая модель OSI: что это такое и зачем она нужна

Какие новости за август — дайджест Cloud.ru

Сетевые протоколы передачи данных — что это такое и какие бывают

Какие новости за июль — дайджест Cloud.ru

Как новые возможности в юридических документах Cloud.ru облегчают работу с договорами и не только

Какие новости за июнь — дайджест Cloud.ru

Как обновления VMware Cloud Director облегчают управление и делают работу с инфраструктурой в ...

Как мы рассчитывали «Панораму российского IT-рынка» за 2022 год

Как снизить риски утечки данных и санкций госрегуляторов: 152-ФЗ в Cloud.ru

Бесплатный курс по работе с Cloud.ru Advanced: рассказываем, в чем польза, кому подойдет и как...

Как модель Anything as a Service упрощает IT-процессы

Снижение рисков на производстве: AI-сервис распознает нарушения ношения СИЗ

Kandinsky 2.1: новый уровень в генерации изображений по текстовому описанию

Облачные сервисы для стартапов: как пройти путь от идеи до цифрового продукта и не разориться

Создать пользователя, настроить 2FA, связаться с поддержкой — новые возможности личного кабине...

VDI: что это, как работает и в чем выгода для бизнеса

Как защитить облачную инфраструктуру — рассказываем на примере межсетевого экрана нового покол...

Как начать использовать AI/ML на практике

Бессерверные вычисления: что это за технология и кому она нужна

Чек-лист: как обеспечить безопасность облачной инфраструктуры

Искусственный интеллект

Что такое IaaS?

Что такое PaaS

Machine Learning

Data Science

Машинное обучение без учителя

Классическое машинное обучение

Нейронные сети

Глубокое обучение

Защита персональных данных: как легче соблюдать закон с Cloud.ru и сохранять спокойствие

Как сохранить IT-инфраструктуру и бизнес: руководство к действию

Машинное обучение и Big Data в кибербезопасности

Ответы на актуальные вопросы

Что такое DDoS-атаки, чем они опасны и как от них защититься

Аудит информационной безопасности: что это, зачем и когда его проводить

Обзор межсетевых экранов, систем IPS и IDS

PostgreSQL vs MySQL: какая система подходит вашему бизнесу

Основы резервного копирования

Специальное предложение «180 дней тестового периода резервного копирования» для всех клиентов
Платформа SberCloud Advanced теперь обеспечивает максимальный уровень защиты персональных данных

Что такое объектное хранилище S3 и как его используют

Customer Enablement: как SberCloud работает с клиентами, чтобы сделать миграцию в облако комфо...

Сеть доставки контента CDN: новые функциональные возможности и преимущества

Объясняем на кейсах: польза CDN для бизнеса

Новая Windows Server 2022 в облаке SberCloud — новые возможности клиентов

Запуск нового сервиса Managed OpenShift в облачной среде SberCloud

Как работает технология DNS

SberCloud Advanced запустила третью ресурсную зону доступности для комфортной работы клиентов

PostGIS в PostgreSQL — как можно использовать

GitLab для начинающих: как и для чего используется

Краткий обзор методологии CI/CD: принципы, этапы, плюсы и минусы

Персональные данные: правильно обрабатываем и храним

Кто и зачем использует облачные модели IaaS и PaaS

152-ФЗ в облаке: хранение персональных данных в облаке

Как работает CDN (Content Delivery Network)?

Service Level Agreement (SLA): все о соглашении об уровне сервиса

Что такое «интернет поведения» (IoB)?

Чек-лист: 6 шагов для успешной миграции в облако

Машинное обучение: просто о сложном

Профессия DevOps-инженер: кто это и чем занимается

Гайд по Kubernetes. Эпизод I: k8s для неразработчиков

Публичные, частные и гибридные облака: в чем разница?
