詞語解釋
統(tǒng)一威脅管理(Unified Threat Management), 2004年9月,IDC首度提出“統(tǒng)一威脅管理”的概念,即將防病毒、入侵檢測和防火墻安全設備劃歸統(tǒng)一威脅管理(Unified Threat Management,簡稱UTM)新類別。IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中,該概念引起了業(yè)界的廣泛重視,并推動了以整合式安全設備為代表的市場細分的誕生。由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成于一個硬設備里,構成一個標準的統(tǒng)一管理平臺。從這個定義上來看,IDC既提出了UTM產品的具體形態(tài),又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,眾多安全廠商提出的多功能安全網關、綜合安全網關、一體化安全設備等產品都可被劃歸到UTM產品的范疇;而從后半部分來看,UTM的概念還體現(xiàn)出在信息產業(yè)經過多年發(fā)展之后,對安全體系的整體認識和深刻理解。 目前,UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設備里,形成標準的統(tǒng)一威脅管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。
雖然UTM集成了多種功能,但卻不一定要同時開啟。根據不同用戶的不同需求以及不同的網絡規(guī)模,UTM產品分為不同的級別。也就是說,如果用戶需要同時開啟多項功能,則需要配置性能比較高、功能比較豐富的產品。
UTM重要特點:
1.建一個更高,更強,更可靠的墻,除了傳統(tǒng)的訪問控制之外,防火墻還應該對防垃圾郵件,拒絕服務,黑客攻擊等這樣的一些外部的威脅起到綜檢測網絡全協(xié)議層防御。真正的安全不能只停留在底層,我們需要構成治理的效果,能實現(xiàn)七層協(xié)議保護,而不僅僅局限與二到四層。
2.要有高檢測技術來降低誤報。作為一個串聯(lián)接入的網關設備,一旦誤報過高,對擁護來說是一個災難性的后果,IPS就是一個典型例子。采用高技術門檻的分類檢測技術可以大幅度降低誤報率,因此,針對不同的攻擊,應采取不同的檢測技術有效整合可以顯著降低誤報率。
3.要有高可靠,高性能的硬件平臺支撐。對于UTM時代的防火墻,在保障網絡安全的同時,也不能成為網絡應用的瓶頸,防火墻/UTM必須以高性能,高可靠性的專用芯片及專用硬件平臺為支撐,以避免UTM設備在復雜的環(huán)境下其可靠性和性能不佳帶來的對用戶核心業(yè)務正常運行的威脅。
為什么需要UTM
隨著時間的演進,信息安全威脅開始逐步呈現(xiàn)出網絡化和復雜化的態(tài)勢。無論是從數(shù)量還是從形式方面,從前的安全威脅和惡意行為與現(xiàn)今都不可同日而語。僅僅在幾年之前,我們還可以如數(shù)家珍的講述各種流行的安全漏洞和攻擊手段,而現(xiàn)在這已經相當困難,F(xiàn)在每天都有數(shù)百種新病毒被釋放到互聯(lián)網上,而各種主流軟件平臺的安全漏洞更是數(shù)以千計。我們遇到的麻煩更多的表現(xiàn)為通過系統(tǒng)漏洞自動化攻擊并繁殖的蠕蟲病毒、寄生在計算機內提供各種后門和跳板的特洛伊木馬、利用大量傀儡主機進行淹沒式破壞的分布式拒絕攻擊、利用各種手段向用戶傳輸垃圾信息及誘騙信息等等。這些攻擊手段在互聯(lián)網上肆意泛濫,沒有保護的計算機設備面臨的安全困境遠超從前。安全廠商在疲于奔命的升級產品的檢測數(shù)據庫,系統(tǒng)廠商在疲于奔命的修補產品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計算機病毒,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統(tǒng)只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中,安全問題的炸彈隨時都有爆炸的可能用戶必須針對每種安全威脅部署相應的防御手段,這樣使信息安全工作的復雜度和風險性都難以下降。而且,一個類型全面的防御體系也已經無法保證能夠使用戶免受安全困擾,每種產品各司其職的方式已經無法應對當前更加智能的攻擊手段。我們面對的很多惡意軟件能夠自動判斷防御設施的狀態(tài),在一個通路受阻之后會自動的嘗試繞過該道防御從其它位置突破,并逐個的對系統(tǒng)漏洞進行嘗試。一個防御組件成功屏蔽了惡意行為之后,攻擊程序在調整自身的行為之后,已經發(fā)現(xiàn)該攻擊活動的組件無法通知其它類型的防御組件,使得該攻擊仍有可能突破防御體系。防御更具智能化的攻擊行為,需要安全產品也具有更高的智能,從更多的渠道獲取信息并更好的使用這些信息,以更好的協(xié)同能力面對日益復雜的攻擊方法。這就是為什么整合式安全設備日益受到用戶的歡迎,也是為什么有大量行業(yè)人士認為UTM類型的產品將成為信息安全新的主流。
UTM的技術架構
UTM的架構中包含了很多具有創(chuàng)新價值的技術內容,IDC將Fortinet公司的產品視為UTM的典型代表,我們就結合Fortinet公司采用的一些技術來分析一下UTM產品相比傳統(tǒng)安全產品到底有哪些不同。
 完全性內容保護(Complete Content Protection)簡稱CPP,對OSI模型中描述的所有層次的內容進行處理。這種內容處理方法比目前主流的狀態(tài)檢測技術以及深度包檢測技術更加先進,目前使用該技術的產品已經可以在千兆網絡環(huán)境中對數(shù)據負載進行全面的檢測。這意味著應用了完全性內容保護的安全設備不但可以識別預先定義的各種非法連接和非法行為,而且可以識別各種組合式的攻擊行為以及相當隱秘的欺騙行為。
 ASIC是被廣泛應用于性能敏感平臺的一種處理器技術,在UTM安全產品中ASIC的應用是足夠處理效能的關鍵。由于應用了完全性內容保護,需要處理的內容量相比于傳統(tǒng)的安全設備大大增加,而且這些內容需要被防病毒、防火墻等多種引擎所處理,UTM產品具有非常高的性能要求。將各種常用的加密、解密、規(guī)則匹配、數(shù)據分析等功能集成于ASIC處理器之內,才能夠提供足夠的處理能力使UTM設備正常運作。Fortinet不但成功的在自己的產品內應用了ASIC這一具有高度尖端性的芯片技術,而且還進行了很多開創(chuàng)性的工作,推出了FortiASIC技術,令老牌的ASIC廠商也不得不刮目相看。
 除了硬件方面有獨特的設計之外,UTM產品在軟件平臺上也專門針對安全功能進行了定制。專用的操作系統(tǒng)軟件提供了精簡而高效的底層支持,可以最大限度的發(fā)揮硬件平臺的能力。UTM產品的操作系統(tǒng)及周邊軟件模塊可以對目標數(shù)據進行智能化的管理,并具有專門的實時性設計,提供實時內容重組和分析能力,可以有效地發(fā)揮防病毒、防火墻、VPN等子系統(tǒng)功能。
 緊湊型模式識別語言(Compact Pattern Recognition Language)簡稱CPRL,是為了快速執(zhí)行完全內容檢測而設計的。這種語言可以在同樣的軟硬件平臺下提供高得多的執(zhí)行效能,并且可以使防病毒、防火墻、入侵檢測等多種安全功能的安全威脅辨識工作獲得更好的協(xié)同能力。另外,這種實現(xiàn)方式還有利于集成更先進的啟發(fā)式算法以應對未知的安全威脅。
 動態(tài)威脅防護系統(tǒng)(Dynamic Threat Prevention System),是在傳統(tǒng)的模式檢測技術上結合了未知威脅處理的防御體系。動態(tài)威脅防護系統(tǒng)可以將信息在防病毒、防火墻和入侵檢測等子模塊之間共享使用,以達到檢測準確率和有效性的提升。這種技術是業(yè)界領先的一種處理技術,也是對傳統(tǒng)安全威脅檢測技術的一種顛覆。
UTM的優(yōu)點
整合所帶來的成本降低
將多種安全功能整合在同一產品當中能夠讓這些功能組成統(tǒng)一的整體發(fā)揮作用,相比于單個功能的累加功效更強,頗有一加一大于二的意味,F(xiàn)在很多組織特別是中小企業(yè)用戶受到成本限制而無法獲得令人滿意的安全解決方案,UTM產品有望解決這一困境。包含多個功能的UTM安全設備價格較之單獨購買這些功能為低,這使得用戶可以用較低的成本獲得相比以往更加全面的安全防御設施。
降低信息安全工作強度
由于UTM安全產品可以一次性的獲得以往多種產品的功能,并且只要插接在網絡上就可以完成基本的安全防御功能,所以無論在部署過程中可以大大降低強度。另外,UTM安全產品的各個功能模塊遵循同樣的管理接口,并具有內建的聯(lián)動能力,所以在使用上也遠較傳統(tǒng)的安全產品簡單。同等安全需求條件下,UTM安全設備的數(shù)量要低于傳統(tǒng)安全設備,無論是廠商還是網絡管理員都可以減少服務和維護工作量。
降低技術復雜度
由于UTM安全設備中裝入了很多的功能模塊,所以為提高易用性進行了很多考慮。另外,這些功能的協(xié)同運作無形中降低了掌握和管理各種安全功能的難度以及用戶誤操作的可能。對于沒有專業(yè)信息安全人員及技術力量相對薄弱的組織來說,使用UTM產品可以提高這些組織應用信息安全設施的質量。
UTM的缺點
網關防御的弊端
網關防御在防范外部威脅的時候非常有效,但是在面對內部威脅的時候就無法發(fā)揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自于組織內部,所以以網關型防御為主的UTM設備目前尚不是解決安全問題的萬靈藥。
過度集成帶來的風險
將所有功能集成在UTM設備當中使得抗風險能力有所降低。一旦該UTM設備出現(xiàn)問題,將導致所有的安全防御措施失效。UTM設備的安全漏洞也會造成相當嚴重的損失。
性能和穩(wěn)定性
盡管使用了很多專門的軟硬件技術用于提供足夠的性能,但是在同樣的空間下實現(xiàn)更高的性能輸出還是會對系統(tǒng)的穩(wěn)定性造成影響。目前UTM安全設備的穩(wěn)定程度相比傳統(tǒng)安全設備來說仍有不少可改進之處。
UTM發(fā)展趨勢
總體來看,UTM產品為信息安全用戶提供了一種更加實用也加易用的選擇。用戶可以在一個更加統(tǒng)一的架構上建立自己的安全基礎設施,而以往困擾用戶的安全產品聯(lián)動性等問題也能夠得到極大的緩解。相對于提供單一的專有功能的安全設備,UTM在一個通用的平臺上提供了組合多種安全功能的可能,用戶既可以選擇具備全面功能的UTM設備,也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是,用戶可以隨時在這個平臺上增加或調整安全功能,并且無論如何組合這些安全功能都可以很好的進行協(xié)同,F(xiàn)在UTM在安全產品市場上一路高歌猛進,除了引發(fā)出的新市場需求之外,UTM還侵蝕了防火墻設備和VPN產品的很多市場份額。按照目前的發(fā)展態(tài)勢估計,UTM產品很可能代替目前傳統(tǒng)的一些信息安全產品,成為信息安全市場上新的主流。根據IDC的數(shù)據,UTM產品市場在近幾年會維持高速的增長態(tài)勢,在2008年之前將維持平均接近百分之八十的年成長率,并于2008年成長成為一個容量達到20億美元的市場細分。
早在2003年,在市場上銷售UTM類型產品的廠商還只有不到十家,而截止至2004年底,僅推出UTM產品的知名廠商就已經達到了2003年的3倍以上。這些廠商既有老牌的網絡安全設備廠商,也有防病毒、防火墻等領域的技術巨頭,其它一些中小型的UTM廠商更是多不勝數(shù)。被認為是最早在市場上推出UTM類型安全產品的Fortinet公司仍舊占據著該市場的領先地位,但是這種領先已經受到了很多后來者的威脅。例如SonicWall公司在2005年第一個季度的營收與去年同期相比已經實現(xiàn)翻翻,而銷售數(shù)量則接近去年該季度的3倍,成為UTM市場崛起的一股新的領導力量。國內的天融信能夠連續(xù)數(shù)年成為國內安全設備占有率最高的廠商也同樣證明了一個道理,持續(xù)的創(chuàng)新和對用戶需求動向的把握是在安全市場成功的重要因素。
當前的整合式安全理念呈現(xiàn)出兩種不同的發(fā)展方向,一是在統(tǒng)一威脅管理的框架下融合多個廠商的多種技術和產品,二是組合多種功能形成整合化的UTM安全設備。雖然整合式的UTM安全設備更加簡單易用并具有更多先進的設計元素,但是整合多種現(xiàn)有產品形成有效的解決方案仍然會在UTM市場中占有重要的地位。首先是因為目前有大量的技術和設備資源是在UTM框架之前形成,我們不可能跨越這些資源從頭建構各種安全設施,而且這樣做也是沒有任何必要的。UTM的先進性更多的體現(xiàn)在它的框架理念上,而并非局限于某種具體的產品。我們有足夠的理由和能力將UTM的先進理念應用于其它形式和模式的安全設施之上。真正意義上的UTM產品應該象我們所提出的UTM概念的后半部分所描述的那樣,形成一個標準的統(tǒng)一管理平臺,只有這樣才能提供足夠強壯的安全防御產品滿足用戶的需求。真正深究統(tǒng)一威脅管理的內涵我們會發(fā)現(xiàn),這既是安全產品不斷向著整合化發(fā)展的直接結果,同時更是對信息安全體系化的不斷精化和反哺歸真。
目前市場上出現(xiàn)的各種UTM產品和UTM解決方案更多的是在已有產品或已有解決方案的基礎上進行整合和創(chuàng)新而成,統(tǒng)一威脅管理真正的威力尚沒有被完全發(fā)揮出來。以UTM安全設備為例,很多廠商的產品仍舊是以防火墻系統(tǒng)為核心,并且在引導用戶認知的過程中也體現(xiàn)出方式。這一方面是因為用戶對防火墻產品的認同度較高,另一方面也體現(xiàn)了廠商在技術實現(xiàn)方面的一些脈絡。完全以高于安全功能的更抽象層次進行設計的產品還不很多見,而只有這樣才能最大限度的從UTM框架中獲得最大的產品價值提升。同時延續(xù)對網關防御的擔憂,目前市場上更加具有分布式和具有更高適應性的UTM解決方案同樣稀少。所以我們認為目前UTM等整合式安全產品的出現(xiàn)仍停留在對傳統(tǒng)產品的改善和顛覆,尚沒有真正開啟信息安全新時代的大幕。
展望未來的幾年時間,UTM陣營將在很多方面取得突破,信息安全新格局的產生也有賴于此。用不了很久,UTM產品中就將集成進更多的功能要素,不僅僅是防病毒、防火墻和入侵檢測,訪問控制、安全策略等更高層次的管理技術將被集成進UTM體系從而使組織的安全設施更加具有整體性。UTM安全設備的大量涌現(xiàn)還將加速催生各種技術標準、安全協(xié)議的產生。在UTM理念尚沒有被接受之前,眾多安全廠商就已經在積極的尋找使不同廠商的產品可以互通合作的方式。例如CheckPoint發(fā)起的OPSEC聯(lián)盟以及天融信倡導的TOPSEC聯(lián)盟等等,都是在產品互操作性方面的積極努力,并且受到了大量廠商的擁護和支持。即使UTM安全產品被推出之后,這種對戶操作標準的渴求應該得到延續(xù),而不能因為UTM產品的出現(xiàn)就放棄了對不同廠商產品可互操作的追求。未來的信息安全產品不僅僅需要自身具有整合性,更需要不同種類不同廠商產品的整合,以最終形成在全球范圍內進行協(xié)同的安全防御體系。在未來不但會制訂出更加完善的互操作標準,還會推出很多得到業(yè)內廣泛支持的協(xié)議和語言標準,以使不同的產品盡可能擁有同樣的“交談”標準。最終安全功能經過不斷的整合將發(fā)展得象網絡協(xié)議一樣“基礎”,成為一種內嵌在所有系統(tǒng)當中的對用戶透明的功能。而這才是信息安全新時代到來的真正標志,我們期待著UTM為我們吹響向這一目標邁進的號角.
掃碼付費即可復制
X