Как правильно писать заявку на покупку NGFW

Дата: 23.08.2020. Автор: Денис Батранков. Категории: Блоги экспертов по информационной безопасности
Как правильно писать заявку на покупку NGFW

Когда вы хотите купить NGFW, то нужно что-то написать в офис производителя, чтобы он подобрал вам модель. 

Что нужно прислать в заявке:

1. Планируемый максимальный защищаемый объем трафика в секунду. (Если NGFW будет защищать периметр или ЦОД, то посмотрите вашу максимальную скорость трафика на периметре или в ЦОД во всех направлениях: входящий + исходящий на всех интерфейсах.) Например: хотим NGFW для защиты трафика на скоростях в пике до 10 Гбит/с.

2. Число хостов в сети, которые генерируют трафик. (На самом деле инженеру для оценки нужно число новых соединений в секунду. Опыт показывает, что каждый хост создает в среднем 0,1 новых соединения в секунду. Но лучше взять с запасом по соединению на каждый хост в секунду. То есть для 10000 хостов число новых соединений в секунду будет 10000.) Пример запроса: у нас 10000 хостов в сети (посчитайте все сервера, компьютеры, роутеры, принтеры и другой IoT)

3. Если есть публичные ресурсы к которым ходит весь Интернет, то сколько новых соединений в секунду в пике бывает на эти ресурсы (если получится это оценить). Слово новых — ключевое. Не путайте число новых соединений с числом одновременных соединений. Обычно это можно посмотреть на графике системы мониторинга, которая обычно у всех есть. Завышать не нужно, потому что сам сервер может не выдержать число новых соединений в секунду, которые вы запросили. Обычно еще стоит WAF или DDOS, который как раз режет число новых соединений, и на самом деле NGFW тоже содержит функции сдерживания числа новых соединений в секунду. (Если у вас есть F5 или A10 или еще какие-то балансировщики — это тоже надо упомянуть. Но это отдельный разговор.) Пример: Число новых соединений в секунду в пике на наши веб сервера: 1000 HTTP(S) соединений в секунду. 

4. Нужна ли подписка Threat Prevention, которая включит обновления антивируса, IPS, anti-spyware, TI, DNS Sinkholing. У некоторых производителей подписка anti-spyware называется anti-bot. 

5. Нужна ли подписка URL Filtering. Обычно в ЦОД она не требуется. 

6. Нужна ли подписка Wildfire — песочница облачная и также встроенная (у Palo Alto Networks внутри NGFW есть Machine Learning, который обнаруживает zero day на лету)

7. Нужна ли подписка Global Protect (функционал HIP для удаленных сотрудников, позволяющий пускать только защищенные компьютеры в сеть компании )

8. Нужна ли подписка DNS Security для определения DGA доменов. 

9. Нужна ли подписка Autofocus для расследования инцидентов и подключения к TIP.

10. Нужна ли подписка IoT для контроля устройств IoT в вашей сети. Замечу, что контроль ICS/ SCADA уже входит в стандартную поставку.

10. Будет это кластер из 2 устройств или standalone.

11. На сколько лет посчитать подписки и поддержку. Обычно заплатить за 3 года сразу дешевле чем три раза покупать по одному. Пример: Нужны все подписки на 5 лет.

PS: На самом деле инженер производителя в первую очередь оценивает тип вашей компании: финансовая, медиа, телеком, производство, государство и др, потому что это разный трафик и это разная нагрузка на устройство. Например, финансовый трафик содержит более короткие транзакции и поэтому NGFW больше напрягается. Причем модель иногда нужно давать в 2 раза мощнее, чем заказчику с таким же трафиком (по сумме байт в секунду), но с более длинными транзакциями. То есть на трафик 10 Гбит/с для коротких транзакций будет одна модель, на трафик 10 Гбит/с для длинных транзакций — другая. Проблема, что никто не знает своего трафика и длины транзакций уж тем более. Поэтому перед покупкой NGFW его нужно тестировать именно на своем трафике и со всеми включенными функциями. Обычно это можно сделать через SPAN порт вашего свитча, что не прерывает работы компании на время теста.
Основой для выбора будет параметр Threat Prevention Throughput и New Sessions per second. Параметр максимальное число одновременных сессий (Max Session) обычно не влияет, потому что он у всех NGFW поддерживается с большим запасом, даже если измерен с буферами для хранения L7 сессий. Чтобы где-то хостами генерировалось одновременно больше 1 миллиона сессий одновременных — я не видел даже у заказчиков у которых 200000 пользователей.


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков

Об авторе Денис Батранков

Советник по безопасности корпоративных сетей.
Читать все записи автора Денис Батранков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *