WAF: Open Source vs Proprietary

Дата: 07.04.2018. Автор: Андрей Дугин. Категории: Блоги экспертов по информационной безопасности
WAF: Open Source vs Proprietary
В четверг, 29 марта 2018, выступал в Краснодаре на конференции Код ИБ с докладом на тему Технические аспекты внедрения WAF. Тема не то, чтобы очень новая, но для меня когда-то была очень актуальной. 5 лет назад ни вендор, ни интегратор не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили vendor-recommended design. В итоге пришлось делать все самому. Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим.

На конференции в Краснодаре у меня спросили:
— примеры open source WAF
— сравнивал ли я производительность коммерческих и open source решений WAF.

С первым вопросом более-менее понятно: что не вспомнишь — то нагуглишь.
Со вторым сложнее. Я не продаван, поэтому, чтобы не тратить свое и чужое время расплывчатыми фразами, ответил честно: не сравнивал.
Тема использования свободно распространяемого ПО в крупных организациях меня заинтересовала давно, и на эту тему я уже написал несколько аналитических статей:
Open Source или вендорское решение?
Linux и системы обнаружения вторжений.
Проектирование и внедрение инфраструктуры IDS/IPS. Этап 3. Выбор решения

При внедрении WAF сравнительный анализ в основном остается остается прежний, взят из моей же статьи.

Плюсы коммерческого решения:
Капитализация. Если акции компании торгуются на бирже, капитальные инвестиции повышают стоимость бренда и акций. Инвестиции в новейшие решения — большой плюс для компании.
Ответственность поставщика. Коммерческое решение предполагает определенные гарантии работоспособности, времени реакции и восстановления сервиса. Конечно, реальное привлечение вендора к ответственности — очень нетривиальная задача.
Масштабируемость. На текущем этапе развития среднестатистический коммерческий продукт в целом более применим в крупной либо динамично развивающейся инфраструктуре, чем Open Source. 
Визуализация. Тоже в соответствии со средней температурой по больнице, коммерсанты лучше умеют показать красивую картинку, потому что имеют ресурс для сбора и интерпретации результатов обратной связи.

Плюсы Open Source:
Полная адаптация. Сам себе заказчик, сам себе исполнитель. Твой бизнес-юнит не отложит твое же пожелание в долгий ящик только потому, что Россия по объемам продаж вендора — 3% рынка сбыта, а твоя компания — 3% от этих 3%.
Время. Самый ценный ресурс. За счет сокращения и даже удаления некоторых этапов инвестиционного проекта время внедрения сокращается в несколько раз. Коммерческий продукт даст такой результат только при условиях:
— поставщик решения выбран
— вендор готов дать право пилотирования на все время до проведения официальной закупки (а это может затянуться и на годы, особенно в кризис)

Но в случае с WAF добавляется еще один очень серьезный плюс в корзинку коммерческого решения. Связан с обработкой SSL/TLS-трафика. Если количество новых HTTPS-сессий в секунду небольшое, то можно использовать и стандартные сервера либо даже виртуальные машины. Но когда их количество измеряется сотнями либо тысячами в секунду, для одной только их обработки на лету потребуются дополнительные вычислительные мощности. У производителей коммерческих аппаратных решений выделяются отдельные аппаратные модули в виде SSL-карт либо ASIC'ов специально для обработки HTTPS-трафика. В случае  с Open Source такую конструкцию придется собирать, настраивать и поддерживать самостоятельно. Поэтому чаша весов тогда склонилась в пользу коммерческого решения, хотя уважения к Open Source как классу у меня от этого не убавилось.
И остальные задачи при внедрении WAF тоже не изменились.

ЗЫ. Фото взяты из твиттера Сергея Борисова.


Источник — Блог Андрея Дугина «Практическая информационная безопасность и защита информации».

Андрей Дугин

Об авторе Андрей Дугин

Блог "Практическая информационная безопасность и защита информации" Андрея Дугина
Читать все записи автора Андрей Дугин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *