Контакты
Подписка 2024

Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов

Павел Мерещук, 25/01/24

Результаты недавнего исследования рынка сетевой безопасности аналитического центра группы компаний “Гарда” говорят о том, что ниша остается импортозависимой, а отечественные решения класса NGFW, по мнению участников опроса, уступают зарубежным разработкам. То есть в целом российский рынок признает, что производители NGFW мирового уровня задали высокую планку качества подобных решений как с точки зрения реализуемых функций, так и с точки зрения надежности. Ситуация зависит и от требований регуляторов, чье влияние на развитие этого сегмента рынка нельзя игнорировать. Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.

ris1-Jan-25-2024-08-35-53-3987-AM

С начала 2022 г. количество атак на инфраструктуру России многократно возросло, при этом о своем уходе из страны объявили практически все иностранные производители средств защиты информации (СЗИ): стала недоступной техническая поддержка, прекратились обновления продуктов и баз. В свете кризисной ситуации с импортными продуктами появился ряд нормативно-правовых актов (НПА) в области классификации и защиты объектов критической информационной инфраструктуры РФ, государственных органов и организаций. В частности, речь об указах Президента РФ № 166 и 250.

Чего хочет рынок?

"Классический" NGFW должен решать две группы задач: разграничение пользовательского доступа к ресурсам сети и защита сети от разного рода кибератак.

  1. Первая группа задач связана с эффективным разграничением доступа пользователей ко всем используемым ресурсам сети. NGFW предоставляет возможность гранулярного управления доступом, в том числе к приложениям. Это позволяет администраторам сети определить, какие приложения могут использоваться, кто из пользователей имеет доступ к определенным ресурсам и какие привилегии предоставлены различным группам пользователей.
  2. Вторая группа задач, с которой должен справляться NGFW, связана с обеспечением надежной защиты сети от кибератак. Для этого используются сложные механизмы обнаружения аномалий трафика, алгоритмы глубокой инспекции пакетов до 7-го уровня эталонной модели взаимодействия открытых систем (ЭМВОС) (L7 firewall) с последующим анализом оперативного реагирования на инциденты безопасности, такие как вирусы, вредоносные программы, атаки на приложения и т.п. Естественно, сам NGFW должен быть защищен от несанкционированного доступа и возможности нарушения злоумышленниками его нормального функционирования.

Анализ требований некоторых заказчиков к решениям класса NGFW наводит на мысли о том, что они составляются по принципу “взять все, что было доступно в Check Point, дополнить исключительными фишками Fortinet и обрамить многолетним опытом Palo Alto”. Затем все собранные требования включаются в закупочную документацию, и удивленный заказчик осознает, что на рынке нет ничего даже близко похожего на “нормальный” NGFW.

В марте текущего года ФСТЭК России формализовала требования к многофункциональным межсетевым экранам (МфМЭ). Они стали квинтэссенцией длительной работы рабочих групп, в состав которых входили как представители конечных потребителей, так и российских производителей СЗИ. Однако заказчиков не вполне устраивает, чтобы отечественный NGFW соответствовал только лишь требованиям безопасности ФСТЭК России. Рынку хочется, чтобы это было не просто функционально, но еще и производительно, и удобно.

Зарубежные производители СЗИ потратили несколько десятилетий, чтобы достичь того уровня, который воспринимается потребителями как эталон для оценки отечественных решений. К сожалению, у российских разработчиков нет нескольких десятков лет для оттачивания мастерства. С учетом ограничений по времени и ресурсам производители вынуждены тщательно взвешивать каждое предъявляемое требование и верно расставлять приоритеты. Логично предположить, что на первый план выйдет разработка только того функционала, который перечислен в НПА. Тем не менее конкуренция на рынке и здравый смысл требуют искать и находить баланс между широким спектром запросов заказчиков и реально востребованными бизнесом функциями. Совместные усилия обеих сторон в формировании ясных и обоснованных требований могут способствовать созданию продуктов, которые соответствуют реальным потребностям российского рынка. Группа компаний "Гарда" уже привлекает партнеров, которые готовы принимать активное участие в формировании подобного списка требований и совместно определять их значимость.

Организационные и технические сложности

Формальные требования

К настоящему времени ФСТЭК России выпустила требования только к МфМЭ уровня сети – так называемый тип А (межсетевой экран уровня сети). К решениям иных типов (типы Б (межсетевой экран уровня логических границ сети), В (межсетевой экран уровня узла) и др.) требований нет, и это немного усложняет приоритизацию задач по разработке программных и программно-аппаратных решений для логических сегментов сети. Приходится строить предположения на основе ключевых различий обычных межсетевых экранов типов А и Б.

Процесс сертификации

Практика показывает, что получение сертификата ФСТЭК России для обычного межсетевого экрана может занимать несколько месяцев даже после завершения обязательных испытаний. Учитывая, что МфМЭ является более сложным техническим устройством, можно предположить, что сертификация займет еще больше времени ввиду большего количества испытаний. Предположив даже, что весь процесс от момента подачи заявки до получения сертификата занимает около девяти месяцев, а также учитывая, что установка и настройка МфМЭ на объекте КИИ занимает какое-то время, приходим к выводу, что для выполнения требований Указа Президента РФ No 250 отечественные разработчики МфМЭ должны уже стоять в очереди во ФСТЭК России для массовой подачи заявок на сертификацию.

Электронные компоненты

Создание некоторых специализированных аппаратных средств для NGFW усложняется ограничениями в части электронной компонентной базы.

Во-первых, недостаточность компонентов (которые к тому же сложно назвать разнообразными), необходимых для создания высокотехнологичных аппаратных решений, может оказывать влияние на возможности создания оптимальной конфигурации для NGFW. Вынужденная необходимость использования импортных чипов создает ненулевые риски, связанные с возможными ограничениями импорта требуемых чипов и иных компонентов.

Во-вторых, вопросы совместимости могут вызывать затруднения в процессе интеграции компонентов в единую аппаратную систему. Это требует дополнительных усилий по обеспечению согласованности работы различных элементов платформы NGFW.

Внушительная экспертиза по обработке трафика

Группа компаний "Гарда" за 20 лет накопила большой опыт в создании высоконагруженных систем. Производитель работал не только над прикладным ПО, но и специализированными аппаратными платформами для обработки трафика. Вот некоторые из них:

Гарда TrACE – ядро классификации трафика до уровня L7+ является универсальным SDK для встраивания в решения класса DPI, а также лаконично вписывается в архитектуру Гарда NGFW.

Гарда NDR – решение для предотвращения атак, расследования сетевых инцидентов и защиты от проникновения может выступать в качестве внешней системы обнаружения вторжений.

Гарда TI – сервис данных о киберугрозах, дополняет экосистему анализом новых аномалий и является источником информации для политик безопасности NGFW.

В группе компаний "Гарда" работает лаборатория анализа протоколов и сервисов, состоящая из двух подразделений: структурно-временного анализа и машинного обучения. Через лабораторию проходили все виды протоколов и сервисов в стране.

Все это мощный фундамент для разработки высококачественного продукта класса NGFW.

Такой опыт позволяет создать NGFW, конкурирующий не с российскими коллегами, а с лучшими западными аналогами. Поэтому теперь все свои знания и опыт обработки сетевого пакетного трафика специалисты группы компаний "Гарда" направили в русло развития собственной экспертизы и обеспечения российского рынка решениями класса NGFW.

План запуска Гарда NGFW

На текущий момент "Гарда" разработала межсетевой экран, и в ближайших планах – начать его сертификацию.

Параллельным треком разрабатывается решение на основе концепции SmartNIC, которое будет выполнять ряд функций, таких как аппаратная L2-L3 фильтрация по ACL-спискам и защита от DoSатак, а также обеспечит ускорение в операциях шифрования и расшифровывания трафика при SSL-инспекции и установлении защищенных VРN-соединений. По факту готовности модуля SmartNIC планируется сертификация межсетевого экрана, но уже с этим модулем.

Одновременно с этим продолжается разработка функций, присущих МфМЭ и сформулированных в требованиях ФСТЭК России от 7 марта 2023 г.

Все требования, включая часть критически важных для заказчиков, тщательно проанализированы, приоритизированы и запланированы для реализации.

Заключение

Как-то на обсуждении нам задали вопрос по текущей версии продукта: "То есть вы сделали Stateful firewall на базе открытых Linux-компонент?" Мы отвечаем: "НЕТ!"

Разработчики группы компаний "Гарда" с нуля написали ядро системы и алгоритмику обработки пакетов, используя сторонние компоненты

лишь для реализации стандартных функций, не связанных с инспекцией трафика. Таким образом, вся инженерная основа

проекта Гарда NGFW была спроектирована и реализована внутри команды. Это позволяет более гибко управлять функциональностью и обеспечивать высокий уровень безопасности и эффективности.

Команда в первую очередь фокусирует усилия на разработке базовых функций NGFW, чтобы обеспечить реализацию всех требований регуляторов и эффективную защиту объектов КИИ к назначенному сроку, но при этом не забывает об инновационных решениях, например о технологиях машинного обучения для анализа трафика и обнаружения новых угроз.

Одновременно группа компаний "Гарда" активно участвует в формировании технологических партнерств и альянсов с другими компаниями в отрасли. Эти коллаборации позволяют обмениваться знаниями, ресурсами и опытом, что ускоряет разработку и обеспечивает доступом к передовым технологиям. Такой коллективный подход способствует созданию сильных экосистемных решений.

Стратегия направлена на то, чтобы все наработки, будь то новые функции NGFW или наработки партнеров, бесшовно интегрировались в единый комплекс. Разработчики стремятся к созданию совершенного и гармонично взаимодействующего продукта, который сочетает в себе передовые технологии, высокий уровень безопасности и гибкость в реагировании на динамичные угрозы информационной безопасности.

В рамках общей программы по созданию комплексной инфраструктуры ИБ под брендом "Гарда" также ведется работа в направлении всесторонней интеграции продукта класса NGFW с существующими и зарекомендовавшими себя продуктами вендора.

Темы:NGFWГардаЖурнал "Информационная безопасность" №6, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать