Технологический обзор российского рынка NGFW
Дмитрий Хомутов, 31/03/23
Основная проблема, с которой столкнулись руководители отделов информационной безопасности в 2022 г., заключается в вынужденном отказе от мощных иностранных решений NGFW Enterprise-уровня, представленных в известных квадрантах Gartner и Forrester, куда ни одно российское решение не попадало даже в лучшие годы.
Автор: Дмитрий Хомутов, директор компании “Айдеко”
Главное, чего, по мнению заказчиков, не хватает в отечественных NGFW:
- Достаточная производительность.
- Функциональность Enterprise-уровня и интеграция с другими сервисами.
- Развитый агент для реализации концепции Zero Trust.
- Высокий уровень устойчивости решения.
- Развитая экосистема. У крупных западных вендоров информационной безопасности межсетевой экран нового поколения – часть большой экосистемы. Это позволяет использовать все ее компоненты максимально просто и эффективно. В России экосистемы у вендоров развиты существенно меньше, в том числе и у вендоров NGFW.
- Собственно уровень защиты, то есть то, как межсетевой экран нового поколения защищает от современных угроз безопасности.
Российский рынок NGFW
Количество разработчиков NGFW в России заметно меньше, чем на международном рынке. Кто же представлен на рынке межсетевых экранов нового поколения в России? Компания IBS Platformix определила в исследовании свою четверку лидеров: "Код безопасности", UserGate, "ИнфоТеКС" и "Айдеко". На рынке представлены и другие вендоры NGFW с историей, но есть и новые игроки, которые либо презентовали решение в 2022 г., либо анонсировали его выход в ближайшие два-три года.
Самые мощные компании из числа новых игроков – пожалуй, Positive Technologies и "Лаборатория Касперского".
Positive Technologies однозначно заявляет, что у них будет межсетевой экран нового поколения. Возможно, уже есть пилоты, а в 2023 г. или чуть позже стоит ожидать релиз.
Слухи на рынке утверждают, что "Лаборатория Касперского" также разрабатывала NGFW некоторое время назад, но пока каких-либо официальных подтверждений этому нет. Хотя очевидно, что в экосистеме продуктов "Лаборатории Касперского" межсетевой экран нового поколения смотрелся бы более чем органично. В 2011 г. Sophos, крупнейший антивирусный вендор, купил развивающую NGFW-решения компанию Astara, в результате чего быстро ворвался в число лидеров квадранта Gartner в сетевой безопасности.
"Инфовотч", производитель DLP-решений и промышленных файрволов, также заявляет о наличии межсетевого экрана нового поколения (на основе OpnSense) и планов по его продвижению на рынке.
Росатом стал новым игроком в сегменте NGFW после приобретения доли (50%) в компании "Код Безопасности".
Компания "Ростелеком", производитель ИБ-решений, крупнейший провайдер и интегратор, тоже заявляет об интересе к рынку межсетевых экранов нового поколения.
Интерес игроков понятен. Согласно исследованию одной из аналитических компаний, весь рынок кибербезопасности России в 2021 г. оценивался в 185,9 млрд руб. [1], сегмент NGFW составлял чуть меньше половины. Причем для межсетевых экранов нового поколения доля зарубежных решений в Enterprise-сегменте превышала 50%.
Рынок развивается и к 2026 г., по оценкам, достигнет 469 млрд руб. [2] После ухода зарубежных производителей сегмент межсетевых экранов нового поколения на этом огромном рынке для многих отечественных ИБ-вендоров становится крайне интересен.
UTM или NGFW?
Что же такое UTM и что такое NGFW? Исторические различия между этими классами решений были связаны со способом обработки трафика.
В архитектуре UTM трафик последовательно обрабатывался разными модулями. Вначале он поступал в межсетевой экран, потом в модуль предотвращения вторжений, потом в URL-фильтр и т.д. При таком подходе часто возникали проблемы с производительностью из-за того, что модуль URL-фильтрации располагался в пользовательском пространстве ОС, а межсетевой экран и антивирус работали на уровне ядра. Из-за постоянного перемещения пакетов между уровнями при большом объеме трафика последовательная обработка занимала достаточно приличное время.
Межсетевые экраны нового поколения NGFW применяют параллельную обработку трафика сразу всеми модулями. Сейчас практически все разработчики шлюзов безопасности пришли именно к схеме работы NGFW.
В известных квадрантах Gartner и Forrester вместо терминов UTM и NGFW давно используются обозначения "сетевой файрвол" или "Enterprise-файрвол". Различий между этими классами решений уже никто не видит, все это теперь универсальные шлюзы безопасности. Впрочем, продукты разных производителей еще по инерции называются у кого-то UTM, у кого-то NGFW, а у кого-то просто файрвол.
Выбор на основе показателей производительности плох
Как уже отмечалось, отечественным NGFW не хватает производительности, особенно для применения в дата-центрах и фильтрации трафика на уровне провайдеров. Но при оценке и сравнении производительности по данным вендоров, а не в реальных условиях, у заказчиков возникают заметные сложности.
Например, по данным вендора Fortigate, модель 3960E показывает 620 Гбит/с на больших UDP-пакетах. Но разве эта цифра поможет выбрать модель для реального использования?
Не секрет, что тесты проводятся при всех включенных модулях, но в них, как правило, оставлено только по одному правилу, то есть одно правило файрвола, одно правило контроля приложений, одно правило контентной фильтрации, одна сигнатура системы предотвращения вторжений.
А в режиме работы всех модулей фильтрации и на трафике Enterprise Mix производительность уже снижается до 13 Гбит/с. Но и эта цифра не очень применима на практике, ведь в реальности у заказчика будет микс-трафик не из иностранных, а из российских приложений, да правил в каждом модуле будет явно не по одному.
Очевиден вывод, что лучше делать пилотные проекты и измерять производительность на реальном трафике.
"Айдеко", к слову, тоже указывает показатели производительности, но на микс-трафике, адаптированном для российских приложений, при нескольких десятках правил межсетевого экрана и контент-фильтрации, а также при более 16 тыс. включенных сигнатур предотвращения вторжений. Поэтому, к примеру, для аппаратного шлюза Ideco MX указывается производительность чуть больше 1 Гбит/с – но реальная! – и почти 2 Гбит/с для шлюза Ideco LX в режиме полной проверки трафика.
Конечно же, в аспекте производительности все отечественные решения достаточно сильно отстают от зарубежных. Это большой вызов для российских разработчиков, в том числе и для "Айдеко". В одном из недавних проектов Ideco UTM работал с больше чем с 100 тыс. правил файрвола. Практически ни одно российское решение не выдерживает такого количества правил. Да и Ideco UTM смог работать в этих условиях только с дополнительными модулями, которые пока отсутствуют в релизе, но скоро там появятся. Улучшение производительности заказчики почувствуют, даже если у них 100 правил, а не 100 тыс.
Текущая цель "Айдеко" – достичь показателя 10–11 Гбит/с в Ideco UTM 16, который планируется представить летом 2023 г.
Архитектура российских NGFW
Отечественные вендоры используют разные архитектуры NGFW, но практически все используют Linux как базовую операционную систему. К слову, Ideco UTM – возможно, единственное из российских решений, всегда использующее самую последнюю версию ядра Linux. Это позволяет, во-первых, поддерживать все современное оборудование, а вовторых, использовать самые последние возможности оптимизации скорости обработки трафика.
Сейчас "Айдеко" использует и модули Open Source, и свои модули обработки трафика, но к шестнадцатой версии практически вся обработка трафика будет собственная.
Кроме того, "Айдеко" использует микросервисную архитектуру, в отличие от монолитных архитектур у других вендоров. Это позволяет выигрывать как в скорости разработки, так и в ее надежности: сбой в каком-либо модуле обработки трафика не приводит к перезагрузке сервера, сбою в памяти или остановке ядра.
С помощью технологий DPDK и VPP трафик извлекается в пользовательское пространство и обрабатывается там, а не на уровне ядра, как делают другие российские решения. Это дает дополнительный выигрыш в скорости обработки и надежности, поскольку возникающие ошибки не приводят к краху всей системы, а лишь к перезапуску соответствующего модуля. А вот ошибка в модуле обработки на уровне ядра, как правило, лечится только перезагрузкой всего сервера.
Железо или софт?
Часть российских разработчиков NGFW делает ставку на программно-аппаратные комплексы, добавляя железные ускорители обработки трафика, другая – только на программные решения. "Айдеко" выбрал путь программного развития, добиваясь очень быстрой обработки трафика на процессорах общего назначения без использования специальных аппаратных ускорителей.
Мы в "Айдеко" считаем привязку к конкретному железу тупиковым путем. Тренд на переход с аппаратных на чисто программные решения наблюдается и у зарубежных вендоров: к примеру, в старших моделях PaloAlto и Fotinet уже не используются аппаратные ускорители. Это позволяет использовать NGFW, например, на гипервизорах, в том числе отечественных, мигрировать с одного железа на другое, а в будущем – и в облака.
Безопасность межсетевых экранов нового поколения
Практически все вендоры используют Open Source: любое современное решение немыслимо без использования фреймворков и модулей чужой разработки. Поскольку непосредственные создатели открытых модулей не всегда готовы гарантировать безопасность, эта ответственность ложится на вендоров, которые их используют.
- Безопасность решения в России подтверждается сертификатом ФСТЭК по уровням доверия, что означает, что внедрены и работают процессы безопасной разработки.
- Для всех модулей, включая, конечно же, и Open Source, должно проводиться фаззинг-тестирование.
- Должны непрерывно использоваться статические анализаторы кода, то есть в сборку продукта не может попасть код, не прошедший статический анализ.
- Следует использовать сканеры уязвимостей.
Например, Ideco UTM, прежде чем попасть к заказчику, проходит девятиуровневую проверку, и это отличает его от, скажем, любых решений Open Source.
Есть ряд принципиальных отличий Ideco UTM от других решений: мы предоставляем решение с предустановленными правилами фильтрации в модулях, защищающих вас сразу "из коробки".
Заключение
Посмотрим правде в глаза: переходить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на российский автомобиль, некоторые из которых с прошлого века выпускаются с конвейера практически в неизменном виде. Так быть не должно, и российским решениям предстоит пройти долгий и сложный путь. И этот путь нужно будет пройти вместе с заказчиками, максимально концентрируясь на наиболее важных аспектах. Мы в "Айдеко" приветствуем приход на рынок NGFW новых игроков, потому что именно конкуренция и позволяет двигаться вперед!