La gestión unificada de amenazas (sistema UTM, solución UTM, dispositivo UTM, puerta de enlace de seguridad) es un dispositivo universal, una solución de seguridad informática que proporciona una potente protección integral contra las amenazas de red. Esta tecnología apareció alrededor de 2004 como reacción a nuevos ataques sofisticados que los cortafuegos convencionales ya no podían hacer frente. [1] UTM es una modificación de un cortafuegos ordinario, un producto todo incluido [2] , que combina muchas funciones relacionadas con la seguridad, por ejemplo: sistema de detección y prevención de intrusiones , cortafuegos , VPN , antivirus . [3] [4] [5]
El término UTM fue introducido por primera vez por IDC , que estudia el mercado global de tecnología de la información y telecomunicaciones. La ventaja de un sistema de seguridad unificado es la siguiente: en lugar de administrar muchos dispositivos separados, cada uno de los cuales actúa individualmente como antivirus , filtro de contenido , servicio de prevención de intrusos (IPS) , filtro de spam y otros, un único dispositivo UTM con configuraciones flexibles. se ofrece cubriendo todas las características anteriores.
Para lograr una solución UTM de alto rendimiento, por regla general, se utilizan hardware y software especializados. La arquitectura de un dispositivo UTM se considerará más a fondo utilizando el ejemplo de una solución de Fortinet, uno de los líderes en el mercado de dichos dispositivos. Además de la CPU de propósito general, el procesador de datos, el coprocesador de red y el procesador de seguridad están involucrados en los cálculos. Gracias a estas mejoras, el dispositivo UTM puede operar a velocidades desde 1 Gbps. [6]
Fue diseñado y optimizado para el procesamiento de alta velocidad de paquetes de red sospechosos y archivos comprimidos y compararlos con patrones de amenazas ya conocidos contenidos en la memoria. El tráfico que se procesa proviene de la CPU de propósito general, no directamente de la red. Este núcleo acelera los cálculos que se realizan a nivel de aplicación, es decir, relacionados lógicamente con antivirus, servicio de prevención de intrusos (IPS), etc.
Optimizado para procesamiento de alta velocidad de flujos de red. Reduce la carga en otros componentes del sistema. Maneja el procesamiento de segmentos TCP, la traducción de direcciones de red y algunas tareas de cifrado. Reconstruye paquetes fragmentados, evitando eludir la seguridad cuando la amenaza se encuentra en diferentes paquetes fragmentados.
Acelera la ejecución de tareas de antivirus, prevención de intrusiones y prevención de pérdida de datos. Descarga el procesador central, aceptando desde él tareas computacionalmente complejas.
Un firewall completo brinda protección contra ataques tanto a nivel de red como de aplicación. El soporte de autenticación le permite brindar acceso a recursos internos solo a usuarios autorizados, configurar diferentes derechos de acceso para cada usuario. También es compatible con NAT : traducción de direcciones de red, lo que le permite ocultar la topología interna de la red de la empresa.
Combina las funciones de control de acceso, autenticación y encriptación para proporcionar una creación fácil y rápida de redes VPN seguras basadas en reglas de enrutamiento o en un dominio de encriptación. La capacidad de conectar de forma segura usuarios remotos, sitios remotos y redes.
Este servicio limita la capacidad de los empleados para visitar sitios inapropiados. Hay soporte para una gran base de datos de URL clasificadas por contenido. Si lo desea, puede configurar listas blancas y negras para usuarios o servidores individuales.
Funciona con protocolos de capa de aplicación: HTTP, FTP, SMTP y POP3. Busca virus en Security Gateway antes de que puedan llegar a las computadoras de los usuarios. También desempaqueta y escanea archivos archivados en tiempo real.
El spam se bloquea en función de la reputación de la dirección IP, el bloqueo se basa en el contenido, las listas negras y las listas blancas. Es posible tener IPS para el correo, que brinda protección contra ataques DoS, ataques de desbordamiento de búfer. El contenido se analiza en busca de malware.
Este componente está diseñado para mejorar el rendimiento del firewall al descargarlo y aumentar el rendimiento, equilibrando la carga en los núcleos informáticos. El equilibrio del tráfico entre las puertas de enlace de respaldo proporciona tolerancia a fallas y redirección del tráfico en caso de falla de una de las puertas de enlace de la red.
Supervisión de sesiones web en busca de código potencialmente ejecutable, confirmación de la presencia de dicho código, identificación de código ejecutable hostil, bloqueo de código hostil hasta que llegue al host de destino. La capacidad de ocultar información sobre el servidor en la respuesta HTTP para evitar que un atacante la reciba.
La necesidad de soluciones UTM surgió debido al creciente número de ataques de piratas informáticos a los sistemas de información corporativos mediante piratería, virus, gusanos . Los nuevos tipos de ataques apuntan a los usuarios como el eslabón más débil de una empresa.
Ahora hay muchas herramientas para piratear sistemas que tienen una protección débil. Así, la seguridad de los datos y el acceso no autorizado de sus propios empleados a los datos se han convertido en los principales problemas a los que se enfrentan las empresas modernas. La violación de la privacidad de los datos puede conducir en última instancia a grandes pérdidas financieras. Las empresas han comenzado a reconocer recientemente el hecho de que el descuido de los conceptos básicos de seguridad de la información entre los empleados puede llevar al compromiso de los datos confidenciales ubicados en la red interna de la empresa. [8] [9]
El objetivo de crear un sistema UTM es proporcionar el conjunto más completo de utilidades de seguridad en un producto fácil de usar. Las soluciones integradas como las soluciones UTM han evolucionado según sea necesario para prevenir amenazas de red mixtas cada vez más nuevas, más complejas.
Según Frost&Sullivan, el mercado de los sistemas UTM creció un 32,2% en 2008 y un 20,1% en 2009. [diez]
NGFW (cortafuegos de próxima generación) - "cortafuegos de próxima generación". Este dispositivo es muy similar a UTM, tiene casi la misma funcionalidad. Originalmente se creó como un intento de combinar el filtrado de puertos y protocolos con la funcionalidad de IPS y la capacidad de procesar el tráfico en la capa de aplicación. Se han agregado otras características con el tiempo. NGFW fue creado para grandes empresas, a diferencia de las soluciones UTM, que fueron calculadas para medianas empresas. [once]
Históricamente, las primeras en aparecer, las soluciones de redes individuales mencionadas, diseñadas para abordar problemas de rendimiento y proteger contra amenazas graves, son difíciles de implementar, administrar, modificar y actualizar cuando se usan en combinación, lo que aumenta la sobrecarga. En cambio, la demanda actual exige un enfoque integrado para la seguridad y el rendimiento de la red que reúna tecnologías previamente dispares. UTM le permite resolver el problema existente. [12]
Un único dispositivo UTM simplifica la gestión de la estrategia de seguridad de una empresa. Se utiliza un solo dispositivo en lugar de varias capas de hardware y software . Puede configurar todos los componentes y monitorear su estado desde una consola .
Para empresas con oficinas y redes remotas, las soluciones UTM brindan protección y control centralizados de redes geográficamente remotas.