Автор: Александр Вишняков, руководитель проектов ООО “СМАРТ-СОФТ”
Решения NGFW представляют собой существенный шаг вперед по сравнению с обычными межсетевыми экранами. Основное отличие заключается в их способности проводить более глубокий и интеллектуальный анализ сетевого трафика, что делает их более эффективными в борьбе с современными киберугрозами.
Первое значимое отличие – это возможность NGFW проводить инспекцию на прикладном уровне. Традиционные межсетевые экраны ограничивались анализом сетевых пакетов на более низких уровнях модели OSI, в то время как NGFW способны анализировать содержание приложений и данных. Это позволяет им обнаруживать вредоносные программы, внедренные в прикладные протоколы, и более эффективно контролировать трафик конкретных приложений.
Второе отличие – это способность NGFW распознавать и контролировать доступ в Интернет на основе политик безопасности, учитывающих разнообразные параметры, такие как геолокация, роли пользователей и время доступа. Это позволяет ограничивать доступ к определенным ресурсам или приложениям для конкретных пользователей или групп. NGFW предоставляют более гибкий и индивидуальный контроль над сетевой активностью, что является ключевым преимуществом в многозадачных сетевых средах.
Флагманский продукт компании "Смарт-Софт" – универсальный шлюз безопасности Traffic Inspector Next Generation (TING) [1] давно известен на российском рынке и включает весь необходимый функционал решений класса NGFW для защиты сети и организации контролируемого доступа пользователей локальной сети в Интернет (имеет более 80 различных функций), обладает оптимальным соотношением "цена – функциональность".
В 2023 г. Traffic Inspector Next Generation был сертифицирован во ФСТЭК России.
Государство наделило ФСТЭК России правом разрабатывать нормативные документы и утверждать методики, обязательные для применения участниками рынка средств защиты информации. При проектировании информационных систем за основу берутся не только международные стандарты и ГОСТы, не в последнюю очередь ИБ-инженеры многих организаций ориентируются на методики ФСТЭК России и используют только сертифицированные ведомством программные и технические средства.
С уверенностью можно утверждать, что межсетевые экраны, в том числе NGFW, применяются абсолютным большинством компаний для защиты сетевого периметра. С учетом значимости этого класса решений в 2016 г. ФСТЭК России были утверждены методические документы, содержащие профили защиты межсетевых экранов. Они предусматривают для МЭ пять типов А-Д в зависимости от формфактора и применения и шесть классов защиты. Для общего доступа были открыты только нормы, регламентирующие профили 4–6 классов защиты, поскольку классы 1–3 связаны с обработкой гостайны.
А с 2019 г. ФСТЭК России, помимо понятия "класс средства защиты", ввела понятие "уровень доверия": разработала и начала применять требования по безопасности информации, устанавливающие уровни доверия к разработке и производству СЗИ. Всего предусмотрены шесть уровней доверия: самый низкий уровень – шестой, самый высокий – первый. СЗИ, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных системах, в которых обрабатывается государственная тайна.
Для использования в государственной информационной системе (ГИС) 1 класса для средств защиты информации (СЗИ) требуется как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше.
Таком образом, если разработчик планирует предлагать свой продукт заказчикам из госсектора, необходимо пройти процесс сертификации во ФСТЭК России, даже несмотря на то, что это долго, дорого и сложно.
Компания "Смарт-Софт" как раз видела перспективность применения TING для госпредприятий, ведь продукт своей функциональностью может успешно закрыть ИБ-задачи заказчиков из этого сегмента, и приняла решение пройти путь сертификации TING. Процесс оказался непростым: он начался в апреле 2021 г. и завершился в июле 2023 г., включал как документальную, так и лабораторную составляющие, но позволил команде "Смарт-Софт" посмотреть на свой продукт с нового ракурса.
В итоге 13 июля 2023 г. "Смарт-Софт” получила для универсального шлюза безопасности Traffic Inspector Next Generation сертификат соответствия ФСТЭК России № 4692.
Теперь TING соответствует требованиям к межсетевым экранам типа "А" и "Б" 4 класса защиты, к системам обнаружения вторжений уровня сети 4 класса защиты, а также требованиям по безопасности информации – по 4 уровню доверия. Решение может применяться заказчиками в значимых объектах КИИ 1 категории значимости, в ГИС 1 класса защищенности, в АСУ производственными и технологическими процессами 1 класса защищенности, в ИС персональных данных 1 уровня защищенности, в ИС общего пользования 2 класса.
До недавнего времени пользователи сертифицированных версий различных NGFW сталкивались с тем, что их функциональность существенно отставала от коммерческих релизов. Объяснение этому феномену довольно простое: процесс сертификации требовал продолжительного времени, за которое коммерческий продукт успевал нарастить возможности. Но сейчас ситуация изменилась. С одной стороны, все больше вендоров – и компания "Смарт Софт" в их числе – начинают процесс сертификации практически сразу после выхода нового релиза. С другой стороны, отраслевой регулятор позволяет достаточно быстро досертифицировать новые версии уже сертифицированного решения.
Так, в IV квартале 2023 г. разработчики "Смарт Софт" планируют выпустить релиз коммерческой версии TING 1.12 и рассчитывают, что спустя уже два месяца он будет досертифицирован во ФСТЭК России в режиме обновления. Таким образом, уже к новому году должна появиться новая сертифицированная версия. Разрыв в функциональности по сравнению с коммерческой версией будет практически ликвидирован.
Для российского рынка это прекрасный показатель!
Рынок российских NGFW активно развивается, растет производительность решений, добавляется новая функциональность, повышается надежность работы. От этого процесса не отстает и TING.
Мы видим, как меняются рынок и требования заказчиков, которые все более внимательно подходят к выбору NGFW. Наличие сертификата – это важная характеристика решения, но помимо него заказчикам нужна реально работающая, многофункциональная и высокопроизводительная защита. Для работы с такими серьезными заказчиками уже недостаточно данных о производительности TING, построенных на нашей прежней методике тестирования. Поэтому мы решили уточнить показатели производительности и планируем провести независимое тестирование сторонними экспертами.
Поддержка кластеризации является значимой характеристикой для NGFW в контексте обеспечения надежной работы. В ближайших версиях TING будет существенно доработан режим кластеризации Active-Active.
Traffic Inspector Next Generation поддерживает два типа кластеризации:
Настройка кластеризации не требует высокой квалификации: достаточно базовых знаний в области сетевых технологий и опыта системного администрирования. Оба типа кластеров проверены на практике в реальной инфраструктуре заказчиков: прекрасно себя показали и балансировки нагрузки, и обеспечение бесперебойного соединения.
TING – одно из немногих на российском рынке решений, построенных на основе открытой операционной системы OPNsense. Это популярная и мощная сетевая ОС с открытым исходным кодом, предназначенная для создания и управления межсетевыми экранами и маршрутизаторами. Она предоставляет широкий спектр функций для обеспечения безопасности и управления сетевыми ресурсами. Разработчики "Смарт-Софт" своими силами проводят доработку и тестирование этой ОС, чтобы она соответствовала функциональным запросам наших заказчиков, с одной стороны, и требованиям регуляторов – с другой. Мы и дальше планируем поддерживать актуальность OPNsense как основу TING и развивать ее функциональность и защищенность.
Кроме создания специфичных для российского рынка доработок, команда "Смарт-Софт" внесла свой вклад в развитие OPNsense, передав его команде разработанные нами модули, которые можно использовать в любой стране.
Защита периметра по-прежнему остается важной задачей для российских заказчиков, неудивительно, что этот сегмент формирует чуть ли не половину всего ИБ-рынка. Решения класса NGFW – это современный инструмент и основа сетевой защиты, без решений этого класса в современных реалиях немыслима полноценная система информационной безопасности. На российском рынке есть сертифицированные отечественные продукты класса NGFW, способные надежно выполнять задачи защиты, полностью соответствующие требованиям законодательства в сфере информационной безопасности. Один из таких продуктов – сертифицированный универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC от российской компании "Смарт-Софт", надежное решение с хорошим потенциалом развития и оптимальным соотношением функциональности и цены.
Для организаций, перед которыми до сих пор стоит задача замены иностранных решений на российские, компания "Смарт-Софт" предусмотрела программу "мягкой миграции" на TING для беспроблемного импортозамещения.