Александр Баринов, ГК «Солар»: Мы значительно продвинулись в развитии NGFW
В современном цифровом мире, где локальные сети и интернет критически важны для работы любой организации, межсетевые экраны прошли путь от простого средства защиты до многофункционального инструмента. Сегодня NGFW (Next Generation Firewall) – это не просто барьер от несанкционированного доступа, а комплексное решение, объединяющее в себе множество компонентов защиты и сетевого администрирования. Несмотря на то, что существует ряд отечественных разработчиков NGFW, в России долгое время доминировали зарубежные решения. Но ситуация резко изменилась в 2022 году, когда они покинули рынок. С этого момента отечественные производители сетевых продуктов начали дорабатывать или создавать с нуля свои аналоги, вступив в гонку за освободившееся место на рынке. Среди них и представленный в апреле 2023 года Solar NGFW, который спустя год получил ряд важных функциональных доработок, а также для обеспечения максимальной производительности и надежности был представлен в виде программно-аппаратного комплекса (ПАК).
Какое по вашему мнению основное преимущество вашего NGFW для заказчика и почему?
Александр Баринов: С момента запуска Solar NGFW мы значительно продвинулись в развитии продукта: доработали архитектуру, увеличили производительность до 40 Гбит/с в режиме межсетевого экрана и провели более 50 пилотных тестирований, чтобы подтвердить эти показатели. В партнерстве с компанией Kraftway разработали модельный ряд одноюнитовых аппаратных платформ: средней производительности (до 20 Гбит/с) для сегмента B2B, высокой производительности (до 40 Гбит/с) для сегмента B2E и наибольшей производительности (до 100 Гбит/с) для ЦОДов и крупных компаний сегмента enterprise.
Приятным бонусом, уникальным на рынке, являются IPS-сигнатуры, которые позволяют NGFW защищать инфраструктуру от реальных атак. Эти сигнатуры мы делаем на базе сведений, собираемых нашим центром исследования и противодействия угрозам 4RAYS, в котором собираются и анализируются данные об атаках на наших клиентов. Мы можем с уверенностью сказать: наши сигнатуры соответствуют реальной активности хакеров в российском сегменте Интернет.
Одна из основных функций NGFW — это блокировка активности на основе детекта. Однако в отсутствие качественных сигнатур межсетевые экраны дают либо много ложнопозитивных срабатываний, реакция на которые может нарушить рабочие процессы, либо – и это самый большой риск – не реагируют на реальные атаки (ложнонегативные срабатывания).
Когда заказчики получают множество ошибок и ложнопозитивных срабатываний, они либо отключают IPS, который ничего не обнаруживает, либо обретают головную боль вместо автоматизированного анализа угроз – огромная команда разбирает все сработки IPS, пытаясь в них отличить реальную атаку от ложноположительных сработок. Наши сигнатуры проверяются в боевой обстановке, что позволяет делать их более надёжными, и как следствие - уменьшить число ложнопозитивных сработок.
Какие механизмы защиты должны быть реализованы в NGFW?
Александр Баринов: NGFW – это большой комбайн, который по важности состоит из следующих компонентов защиты:
- межсетевого экрана;
- сетевого транслятора адресов (NAT) – он скрывает внутреннюю инфраструктуру и решает задачи сегментирования;
- контролера приложений, который следит за происходящими событиями на уровне приложений;
- системы обнаружения вторжений (IPS);
- инструментов обеспечения отказоустойчивости, поскольку это важно для работы на корпоративном уровне;
- модуля проверки SSL-соединений (SSL-инспекции);
- контролера действий пользователей;
- механизмов интеграции с SIEM и другими.
NGFW – это большой комплексный продукт, и его плюс в том, что он объединяет в себе много функций.
Какие требования предъявляются к аппаратным платформам и операционной системе, реализующей базовые функции NGFW?
Александр Баринов: Основные требования, предъявляемые к аппаратной платформе – это надежность, длительный срок службы и жизненный цикл изделия, ремонтопригодность, отказоустойчивость, стойкость к внешним воздействующим факторам. Конструктивные особенности аппаратной платформы, заложенные на этапе разработки, такие как резервированные источники питания, избыточные сетевые интерфейсы, позволяющие создать резервированные сетевые подключения, и другие технические решения вкупе с двухстадийным технологическим тестированием, позволяют ответить на эти требования перед отгрузкой клиентам.
К другим немаловажным требованиям относятся габаритные размеры, потребляемая мощность и вычислительная производительность платформы. Поскольку наши решения разработаны для замены импортных межсетевых экранов, UTM и NGFW, они имеют оптимальную высоту 19` 1U. Избыточная потребляемая мощность от питающей сети – это тепловыделение и дополнительные накладные расходы в ЦОД. Для обеспечения высокой производительности при обработке сетевого трафика необходима не только высокая производительность отдельной системы, но и общей инфраструктуры.
Основные требования к операционной системе, реализующей базовые функции, и к специальному программному обеспечению, реализующему функции NGFW – это безопасность в широком смысле этого слова. А также преемственность, архитектура с ярко выраженными границами между функциональными модулями и приложениями, гарантированная изоляция сегментов памяти, потоков данных и ролей пользователей. Для достижения высоких показателей безопасности в «Солар» используются процедуры безопасной разработки ПО с последующим исследованием каждой версии NGFW в различных анализаторах, а также с помощью других инструментов, например, пентест.
Возможна ли реализация NGFW в виде облачных сервисов? Насколько это перспективно?
Александр Баринов: Мы, как компания «Солар», имеем в своем портфеле сервис с облачными межсетевым экраном на базе нескольких производителей. Это специфический бизнес. Весь мир переходит к потреблению по сервисной модели, но если WAF или анти-DDoS из облака в России очень хорошо продаются, потому что это удобно, то для NGFW есть требование регулятора, который запрещает использовать виртуальное исполнение межсетевых экранов на границе сети, и четко это контролирует. Кроме того, российские заказчики традиционно предпочитают покупать ПАКи. Мы в наше облако ближе к концу года также придем с нашим программным решением, но для этого нужно ещё выполнить достаточно много требований. Мы этим сейчас занимаемся.
Как правило, облачные межсетевые экраны используют организации с большой распределенной по всей стране филиальной сетью, у которых в удаленных локациях не хватает администраторов. В этом случае провайдер администрирует все эти устройства, а у заказчика либо стоит дистанционно управляемое телекоммуникационное оборудование (customer premises equipment - CPE), либо мы по выделенным защищенным каналам «Ростелекома» подключаем площадку заказчика к нашему облаку, где располагается шлюз для организации защищенного выхода в интернет. Такое решение у нас уже есть, это сервис MSS UTM. Возможно, в недалеком будущем регулятор разрешит использовать подобные решения для более широкого круга заказчиков.
Какая инфраструктура поддержки продуктов должна быть на стороне производителя NGFW?
Александр Баринов: Для обеспечения полного жизненного цикла, гарантийного и послегарантийного обслуживания ПАК NGFW совместно с Kraftway создана гарантийная линия поддержки, сервисное подразделение и склад для хранения комплектующих для ремонта. В общем виде структура состоит из трех линий поддержки. Третья линия находится в «Соларе», первая и вторая – чаще всего у партнеров, но это зависит от конкретной ситуации, клиента и его удаленности. При обнаружении неисправности в ходе первичной диагностики определяется место и способ проведения ремонта – у заказчика или в сервисном центре. Возможна и замена на аналогичный ПАК NGFW. Для снижения сроков реагирования и ремонта используется сеть инфраструктуры Kraftway, охватывающая всю территорию страны. Сроки SLA определяются договором поставки, они разные, от 4 часов до следующего рабочего дня.
Мы со своей стороны сразу понимали, что любое внедрение – это огромный стресс для заказчика. У него неизбежно возникает вопрос «А что, если новое устройство положит мне всю сеть? Как мне тогда вести бизнес?». Поэтому параллельно с разработкой самого продукта мы с самого начала уделяем огромное внимание сервису на всех стадиях работы с заказчиком. Ситуации могут случаться разные, это техника, это жизнь. Главное – как ситуация будет решена. Мы делаем всё, чтобы это было быстро и максимально безболезненно.
Как вы оцениваете российский рынок NGFW? Назовите ключевые тенденции его развития.
Александр Баринов: С уходом иностранных производителей на рынке освободилось по разным оценкам от 20 до 50 млрд рублей, которые клиенты за год готовы потратить на эти продукты. На эту сумму претендуют порядка тридцати компаний, желающих завоевать свою долю на рынке. Если раньше крупные корпоративные клиенты покупали решения иностранных производителей, то сейчас они будут заниматься импортозамещением и выполнением указов Президента РФ №250 и №166, которые запрещают эксплуатировать иностранные средства защиты на объектах КИИ. Это направление является серьезным драйвером импортозамещения.
Есть новые российские разработчики, которые увидели освободившийся рынок крупных корпоративных клиентов, и есть «старые» российские производители, которые не сильно конкурировали с иностранными производителями за крупные проекты. И когда этот рынок освободился, они все решили его занять. А требования, которые будет выставлять крупный заказчик, понятны: высокая производительность, большое количество функциональных возможностей и хорошая линия поддержки – быстрая, отзывчивая и с разными уровнями. Это то, что сейчас диктует рынок.
Какие отрасли наиболее перспективны для внедрения NGFW? Как на это влияет законодательство о КИИ?
Александр Баринов: Банки, телеком, энергетика, промышленные предприятия, которые подпадают под регулирование в рамках импортозамещения и КИИ, системообразующие компании.
Какие специалисты нужны для обеспечения работы NGFW на стороне заказчика? Оцените потребность в кадрах для повсеместного внедрения этих продуктов.
Александр Баринов: Все крупные заказчики привыкли к Fortinet и Cisco, и развивали свой ИТ-ландшафт под западных производителей. За один год это все заменить не получиться. Нужно приготовиться к тому, что это будет долгий, дорогостоящий, болезненный и многоэтапный процесс. Мы видим, что многие заказчики прежде, чем внедрять NGFW, переделывают свою сетевую инфраструктуру и архитектуру сети.
Мы, естественно, готовим курсы по администрированию нашего NGFW. Сначала у нас будут сертификационные курсы для партнеров. Команды, которые ранее обслуживали Cisco, Fortinet и Polo Alto никуда не делись, и мы испытываем от них определенное давление – "Сделайте нам так, как мы привыкли". Клиент всегда прав, поэтому мы слушаем его в том, как должны работать интерфейсы, политики группировки правил и другие механики.
Количество и квалификация специалистов, необходимых для обслуживания российского NGFW-решения близки требованиям для зарубежных аналогов. Если говорить о нашем продукте, количество специалистов, необходимых для обслуживания планируемых к выпуску устройств, будет определяться спецификой их использования и критичностью инфраструктуры.
Какие тенденции кибербезопасности определят будущее развитие NGFW в России в течении следующих 3 лет? Насколько они отличаются от общемировых тенденций?
Александр Баринов: Машинное обучение – один из драйверов развития технологии NGFW, и все это понимают. Оно будет является развитием тенденции максимальной автоматизации средств защиты. Устройство стоит у заказчика, и новые правила фильтрации могут использовать в том числе и инструменты машинного обучения и автоматизации. Необходима также проработка сценариев реагирования на события в инфраструктуре заказчика, которая может быть достаточно сложной. Если в такой системе что-то происходит и нужно максимально быстрое оперативное реагирование, то подобная автоматизация может использовать элементы искусственного интеллекта.
Кроме того, возможно сближение различных инструментов защиты. Например, сейчас «песочница», в виртуальной среде которых анализируются приходящие по сети артефакты, и NGFW – это два разных продукта, но есть ощущение, что они сближаются. Если межсетевой экран обнаружил что-то подозрительное, переслал в «песочницу», откуда уже приходит вердикт, что это что-то опасное и его нужно заблокировать, причем с рекомендациями для IPS по реагированию на аналогичные вредоносы. Такие сценарии уже можно реализовать полностью в автоматическом режиме. В иностранных решениях они показали свою работоспособность.
Если раньше говорили, что мы отстаем на 5 лет, то сейчас мы догоняем. Понятно, что аппаратное исполнение – это сложная тема и догонять можно десятилетиями, но у нас такого времени нет. У нас на порядок больше атак и событий, чем в любой другой стране, поэтому нам нужно оперативно догнать иностранные продукты по защитным функциям. Поскольку первым и главным продуктом «Солара» из которого развивалась вся экспертиза в разработке, была DLP-система Solar Dozor, мы активно работаем над её тесной интеграцией с нашим NGFW. Если почитать требования ФСТЭК по многофункциональным межсетевым экранам, то в них есть упоминание DLP и «песочницы» как неотъемлемой части NGFW. Соответственно, такое сближение различных категорий продуктов идет. Но в некоторых странах DLP вообще запрещено как вторжение в частную жизнь, поэтому там подобные связки не развиваются. Это отличает нас от зарубежных рынков.
В заключение, стремительное развитие отечественного рынка NGFW, вызванное уходом зарубежных вендоров, открывает перед российскими компаниями уникальные возможности. Ключевыми факторами успеха в этой гонке станут высокая производительность, богатый функционал, надежная сервисная поддержка, а также интеграция с передовыми технологиями, такими как машинное обучение и искусственный интеллект. При этом российским разработчикам важно учитывать не только мировые тенденции, но и специфику отечественного рынка, включая нормативные требования и особенности ландшафта киберугроз. Сочетание этих факторов позволит создать конкурентоспособные решения, способные обеспечить надежную защиту российских компаний.