NGFW: ответы на частые вопросы
Межсетевые экраны (МЭ) нового поколения (Next-Generation Firewall/NGFW), как и вся российская ИБ-отрасль, получили в последние полтора года мощный толчок к развитию. Появились новые лидеры сегмента, игроки, правила и требования, и вместе с ними у клиентов появляются новые вопросы.
В этой статье я собрал вопросы, с которыми сталкиваюсь наиболее часто в ходе работы, и постарался ответить на них так, чтобы не вызвать дополнительные.
NGFW: напомним что это
Если коротко, то NGFW — это межсетевой экран с дополнительными защитными компонентами. Чаще всего к МЭ относятся интеграция со службой каталогов, например, MS Active Directory, и возможность написания политик безопасности с использованием доменных групп и пользователей, возможность URL-категоризации и фильтрации (использование в политиках, вместо URL или доменов, категорий, например, запрет всех религиозных ресурсов), а также дополнительные модули, в частности, фильтрации приложений (определение приложений и возможность написания политик по ним), контентной фильтрации, IPS (модуль системы предотвращения вторжений) и антивирус, другие компоненты, которые, в свою очередь, делятся на сетевые функции и функции безопасности.
Обязательно ли использовать сертифицированные NGFW?
Часто, говоря о сертификации NGFW в России, подразумевают сертификацию ФСТЭК России по межсетевым экранам (МЭ) и системам обнаружения вторжения 4 класса защиты и 4-му уровню доверия. Применение сертифицированных МЭ обязательно для государственных организаций, а также для коммерческих компаний, работающих с персональными данными (ПДн) и/или объектами критической информационной инфраструктуры (КИИ), однако для всех остальных организаций использование такого NGFW сопряжено с дополнительными расходами и ограничениями для самого решения.
Какие решения остались в России после ухода иностранных вендоров?
Не все иностранные вендоры ушли. Некоторые остались, некоторые пришли на замену предшественникам, например, Checkpoint и Sangfor соответственно. При этом есть определенные нюансы. Эти вендоры работают в условиях, когда потенциальные клиенты опасаются их возможного ухода, а сами они намерены и дальше оставаться, даже если не поставляют лицензии и ПО клиентам, включенным в санкционные списки. Что же касается российских вендоров, то у 2-3 из них есть готовые рабочие продукты, но среди них можно выделить одного лидера — UserGate. Это нельзя назвать монополией, но преимущество данной компании сейчас очевидно. Хотя потенциал для дальнейшего совершенствования есть и у этого NGFW, но уже сейчас он закрывает все самые востребованные запросы. Другие российские вендоры также готовят релизы или обновления своих NGFW-продуктов, за которыми я и мои коллеги пристально наблюдаем.
Что с поставками аппаратных компонентов? Удалось ли устранить проблемы?
За полтора года ситуация значительно улучшилась. Если весной наблюдались проблемы, которые приводили к задержке или простою некоторых проектов, то сейчас все наладилось. Да, компоненты все еще едут медленнее, чем раньше, но полугодичные периоды ожидания остались в прошлом.
Почему скорости российских NGFW отстают от западных стандартов?
Это связано с архитектурой российских продуктов. В зарубежных аналогах используются специальные процессоры, запрограммированные на выполнение той или иной конкретной функции, например, шифрования, управления и т.д. По такому принципу собран, например, NGFW от Palo Alto Networks. Российские решения, в большинстве своем, собраны на архитектуре x86, и скорость достигается за счет оптимизации кода и ПО, однако разрабатываемые отечественными вендорами драйверы и программное обеспечение за последнее время стали показывать гораздо большую производительность.
Куда движется российский рынок NGFW? Чего ждать в ближайшее время?
Отечественный рынок движется в сторону увеличения количества российских вендоров, которые предоставляют продукты класса NGFW. Также можно ожидать увеличения производительности межсетевых экранов, расширения их функциональности и повышения стабильности работы, что позволит удовлетворить запросы клиентов, ранее использовавших иностранные продукты. Однако, стоит отметить, что подобные изменения могут повлиять на стоимость конечных решений.
Кто является основными конкурентами российских NGFW, помимо Sangfor и Checkpoint?
Здесь все просто – иностранные вендоры, продукты которых клиенты либо продолжают обновлять с помощью параллельного импорта, либо не обновляют их вовсе. Такой подход сопряжен с рядом рисков, например, отсутствием сертификации ФСТЭК России, проблемами с получением техподдержки, вплоть до полного ее отсутствия со стороны вендора, неожиданным отключением лицензий и потерей работоспособности системы вследствие этого, а также невозможностью возврата и замены неисправного оборудования.
Какие преимущества и недостатки есть у российских NGFW?
Посмотрим сначала на недостатки. Первый из них – стоимость, возросшая сразу после ухода иностранных вендоров. Второй – пока еще узкий модельный ряд и более низкая производительность в сравнении с зарубежными аналогами. Третий – отличие российских продуктов от ставших привычными иностранных в части интерфейса и функциональности, что требует дополнительной адаптации.
Что касается преимуществ, то первое из них – необходимость для ряда клиентов заменить иностранные средства защиты информации (СЗИ) на российские. Второе — постоянная техническая поддержка от вендора, причем на русском языке, что особенно актуально на фоне отсутствия локализации у многих зарубежных компаний. Сюда можно отнести возможность замены и возврата неисправного оборудования, гарантированную непрерывность работы систем. Помимо этого, работа с российскими NGFW дает возможность оперативно запрашивать и получать положительные решения по расширению функциональности (feature request). Кроме того – отечественные МЭ, как правило, имеют сертификацию ФСТЭК, когда иностранные сертифицированы либо по более низкому классу, либо не имеют сертификации вовсе.
Как ситуация со слияниями и поглощениями в области кибербезопасности может повлиять на рынок NGFW в России?
Никак, потому что рынок кибербезопасности в России изолирован от международного, и сейчас сделки М&А с международным участием проводить крайне затруднительно. С точки зрения рынка NGFW в целом новых слияний и поглощений ожидать в ближайшее время не стоит. Все разработчики продуктов этого класса сейчас активно растут, развиваются и видят большой потенциал для роста на рынке, поэтому вряд ли захотят продешевить при продаже. Компаний, которые могут себе позволить купить команду с готовым NGFW-решением, на рынке совсем мало, и они либо уже имеют свои решения, либо сейчас делают их.
Стоит ли вкладываться в российский NGFW до 2025 года, когда запрещено будет использование иностранных NGFW?
Сразу оговорюсь, что российскими регуляторами будет запрещено использовать иностранные решения только организациям, подпадающим под требования по импортозамещению. Им вкладываться в российские решения этого класса стоит, и они уже активно этим занимаются и планируют замену своих текущих экранов. При этом стоит понимать, что замена – не просто покупка решения, но и внесение изменений в архитектуру, само внедрение, настройка, отладка и т.п. Если же говорить об остальных компаниях, то здесь спешить некуда, особенно, если вы приобрели NGFW совсем недавно, и он стабильно работает. Замена такой системы создает стресс для эксплуатации и дополнительные затраты.
Что выгоднее: иметь свой NGFW или использовать услуги провайдера?
Универсального ответа, который подошел бы для всех, здесь нет. Кто-то использует такой тип услуг как Managed Security Service Provider (MSSP), при котором внешний сервис-провайдер разворачивает NGFW на своих мощностях, и ведет управление средствами защиты информации. Такая модель многим подходит в силу удобства и/или экономической выгоды, особенно в случаях размещения ресурсов в облачной инфраструктуре. Все зависит от того, как выглядит инфраструктура и какой приоритет у компании – капитальные или операционные расходы. MSSP – операционные. Покупка и внедрение своего NGFW – капитальные.
Как обосновать необходимость замены зарубежного NGFW на современном рынке?
Первая причина – возможность продления лицензии на модули безопасности, потому что без них от NFGW остается только межсетевой экран четвёртого уровня (L4 Firewall) с некоторыми дополнительными функциями, что отбрасывает защиту примерно лет на 10 назад, а это чревато рисками.
Вторая причина – возможность получить сопровождение продукта. Даже если ваша служба эксплуатации со всем справляется отлично, рано или поздно может возникнуть ситуация, когда потребуется завести кейс в техподдержку, получить обновление, заменить аппаратный компонент, или всю «железку» разом. Для этого нужно решение, разработчик которого ведет деятельность в вашей стране.
Как продлить техническую поддержку иностранных NGFW?
Единственный способ – использовать схемы параллельного импорта. Сам я их не рекомендую, т.к. гарантий такой подход не дает никаких, при том, что требует много дополнительных затрат и чреват уже упомянутыми выше рисками.
Как выбирать и сравнивать поставщиков NGFW на российском рынке?
Во-первых, нужно определиться, какие продукты для вас доступны в принципе исходя из конкретных задач и требуемой функциональности и производительности, и оценить связанные с их эксплуатацией потенциальные риски и выгоды, в том числе и в случае с иностранными решениями.
Во-вторых – необходимо определиться с требуемым исполнением, в частности, виртуальным, аппаратным или в формате MSSP.
И в-третьих, определить, актуальны ли для вас требования к наличию сертификата ФСТЭК России.
Уже после всего этого можно изучить, выбрать и протестировать те или иные варианты для финального выбора, в том числе и по стоимости. Также здесь важно иметь ввиду наличие внутренних компетенций, т.е. специалистов, которые способны эксплуатировать конечное решение.
Вместо заключения
Собранная в этой статье информация дает базовое понимание ситуации на рынке, ассортимента продуктов, подхода к выбору NGFW и пр. Конечно, решение более специфических вопросов потребует глубокого погружения. Если вам понадобится консультация или помощь во внедрении оставьте заявку.
Автор: Евгений Свиридов, руководитель департамента проектирования и внедрения компании iTPROTECT
