近年来,统一威胁管理 (UTM) 在业界可说是热门的话题。有些人认为这是能够解决所有 IT 安全问题的灵丹妙药,尤其是对中小型企业而言。不过许多人仍然保持着谨慎的态度。本文将告诉你,如何让五合一的UTM练就金刚不坏之身,而不只是空有无敌铁金刚的外在,却没有扎实内涵可以协助企业网络解决 IT 难题的纸老虎。
五合一功能的UTM防御平台
“UTM”一词首先出现在 2003 年 IDC 的研究报告中,被定义为具有额外网络防御机制的防火墙平台,能够抵御 DoS / DDoS (拒绝服务/分布式拒绝服务)、病毒和其它恶意软件、垃圾邮件以及网络钓鱼的攻击,很多UTM解决方案还具有网页过滤的功能。 根据这个对“UTM”装置的定义,市面上许多网络安全解决方案厂商都提供了类似的产品。
UTM 并非是灵丹妙药
在 UTM 的概念出现之前,企业为了防御各式各样的威胁,必须配置多项单功能产品,例如防火墙、防病毒网关、防垃圾邮件装置以及 URL 网关。企业还必须同时兼顾这些平台和其它 IT 解决方案的管理,员工也必须熟悉各种不同的接口、指令和差异性。林林总总一堆的安全解决方案代表着必须购买多项产品,维护费用也更高,对资金预算和营运预算都是一个很大的负担。
UTM 的概念解决了企业必须管理多项单功能产品的难题。通过单一的操作系统与管理接口,提供一个能够满足多方面安全需求的全功能架构。这不但在学习新系统方面节省下可观的时间,也提高 IT 人员在防御攻击时的有效性。
然而,UTM 绝非是企业管理网络的灵丹妙药。许多企业抱怨,UTM 装置的防病毒功能不如其它单一功能的防病毒产品,防垃圾邮件功能错误百出等。许多的使用问题不禁让人对 UTM 的价值产生怀疑。只是我们必须要了解,企业网络与一般的学术网络相比是具有相对好管理的网络环境。也就是说,企业网络的存在是有目的性的,其终极目标是在协助企业赚钱、协助企业更有效率地完成各项工作; UTM就是在有目的的 IT 资源分配、系统规划的企业网络环境之下产生其存在的意义。
UTM 的价值在于简化管理,即以最精简的单一设备来得到企业所需要的网络管理水平,并具有快速迁移、集中管理、节省成本的优势。部署 UTM 的意义主要是基于公司业务考虑,而非只是纯粹以 IT 技术的眼光来思考。使用 UTM 解决方案应有的理念是将其放在最恰当的地方,让其发挥适当的功能,而非只是硬要将其赋予的各项功能,拿来与业界单一功能最优秀的产品做比较。
UTM 对于总公司与分支机构的意义不尽相同。UTM 可以满足分支机构人员较少、 IT资源有限、需快速移动、常使用各种不同网络基础设施的特性。对分支机构而言,UTM 可以协助公司在有限的预算内最有效率地运用信息人力,协助企业减轻信息工作负担,也可以让企业的信息安全工程由分公司开始做起,再延伸至总公司。在分公司设置UTM 装置,可以简化管理工作来解决信息人员大多配置于总公司的问题。借助适合的UTM 解决方案,分公司可以过滤掉80 %的安全问题。剩下的20 % 则可通过个别的单一安全功能产品来解决,并可与总公司的安全网络连结。
让 UTM 发挥无敌铁金刚的实力
既然许多UTM 装置号称五合一甚至是更多功能整合在一起的安全防护设备,如何让它有效发挥其强大的功能?如何改善其不足的地方?如何有效而正确地部署UTM ? 已成为企业解决安全问题中极为关键的一环。
使用UTM 最大的用意是在减轻信息工作的负担,让企业在 IT 资源运用最佳化的情况下,在简化管理、节省成本的前提下完成企业的工作任务与需求。许多企业用户曾经反映,同时开启 UTM 的各项功能,似乎会增加设备工作量、减慢运作速度,这也常成为网络传输中的瓶颈。所以在部署 UTM 系统之前,了解网络平时以及在高负荷情况时的运作速度,才能避免超载而导致的网络堵塞。
企业使用者也可将网络分割成不同区域,再把不需要的功能关掉。如果公司营运只需要使用网页服务器与电子邮件, 便可以设定 Policy 来阻挡其它协议的接入,只检查网页或电子邮件的部份,如此便可减轻设备的负荷。
给 UTM 一个适当的位置
UTM 基本上是比较适合在企业的分支机构部署的,像保险公司、银行等具有很多业务的单位,就很适合部署 UTM 来协助企业满足简化管理的需求。保险业或证券业等营业模式,都具有营运单位经常搬迁移动,又常需要设置开放的网络环境来让客户使用的特色。利用 UTM 装置可部署不同的网络安全区域,并制定不同的Policy来区分各区域的安全等级。例如行政人员区可以允许其接入进入企业内部网络,而保护区便只能让其连出因特网。许多类似汽车产业经营模式的企业,大量的业务员带着与他们四处奔走的笔记本电脑回到公司内部,为了避免中毒与遭受入侵的可能性,传统都是通过IP- Sec加密以保护分支据点与分支据点间或与总公司之间通过因特网或是 VPN 传输数据时的安全性(见下图)。现在有了 UTM 装置,可以将其置于分公司与总公司之间,除了具有加密的效果,还具有防病毒、内容过滤等功能,让信息安全更有保障。
如果不是分支机构,单一据点的公司或企业是否适合使用 UTM 呢?关键点在于公司的信息环境与目标。如果老板很清楚自己公司与信息相关的业务需求仅限于上网找数据以及利用电子邮件与客户往来,此时使用UTM 就很合适,可以完全解决基本的信息需求,也不会让网络性能影响到公司的营运;不过若是像网吧或网络拍卖这类型的公司,营运行为深受网络带宽与性能影响,又得特别防范黑客入侵系统,一个可弹性定义 Policy、又具有备援性功能的防火墙,甚至是 IPS ,就是企业需要考虑的了。
其实,UTM 解决方案应该是整体安全策略的一部分,而不是唯一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。
金刚不坏还是破铜烂铁
尽管所有的 UTM 供应商都宣称其 UTM 解决方案确实有效,但是能否及时有效地更新防护码, 应该是UTM能否成为安全金刚,拥有不坏之身的关键。自行开发防病毒、防垃圾邮件和防网络钓鱼的系统,然后放到既有的防火墙产品上,其产品成熟度与稳定性是另外一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险,因为这些产品给使用者带来虚假的安全感,实际上却不能防御真实的攻击。
不想让你的 UTM 成为破铜烂铁,就要慎重选择可弹性制订 Policy 的产品,因为对企业而言,并非一定得在同一时间开启UTM 所有的功能。可根据不同的时间需求弹性制订UTM 的功能需求,如此才不会影响到企业网络流量,也可以有效率地运用企业网络资源。
UTM 装置可说是 IT 安全解决方案最重要的突破之一。此类装置的确提供显著的优点,但是使用者必须谨防供应商提供不符合现实环境需求的装置。若使用优质的 UTM 平台来保护企业,资本与营运支出都能大幅度降低,安全的有效性也能同时提高。UTM 的另一个优势是可让用户实施分层管理(Layer security)的网络安全防护方案。例如在计算机上安装防病毒软件、在防火墙上加入额外的病毒保护,如此等于是设计了重重的防护关卡;若有黑客发动攻击,UTM 还可发挥阻挡和监察的功能,延迟或停止攻击入侵。现在已经有厂商开始将 VoIP、路由器等功能整合进 UTM装置之中。未来,UTM 产品还会融入更多的安全防护功能,也可以支持各种不同的操作系统。UTM 的未来值得期待,只看使用者如何妥善运用。