Важные слагаемые развития NGFW: опыт UserGate
Иван Чернов, 22/01/24
Разработка NGFW – это долгая, сложная и ресурсоемкая история. Создание успешного продукта – это не только правильное стратегическое и технологическое видение того, как технологии и рынок будут развиваться в перспективе 5–10 лет. Реальная универсальность и эффективность решения NGFW зависит от целого спектра условий, которые мы рассмотрим в этой статье.
Автор: Иван Чернов, менеджер по развитию UserGate
У компании UserGate свой особенный путь в разработке продуктов. Это уникальное сочетание софтверных и платформенных решений, которое позволяет получить высокую производительность и при этом сохранить технологическую независимость. Правильность изначального выбора такой стратегии развития стала особенно очевидна в последние 2–3 года. И в сложившихся обстоятельствах нам не пришлось вносить в нее кардинальные изменения – процесс разработки и производства не останавливался ни на день.
Технологическую независимость можно разбить на три компоненты: софт, аппаратные платформы и стык между софтом и железом.
Технологическая независимость: софт
Софтовая независимость – это собственная кодовая база.
На рынок NGFW может выйти любая компания, у которой есть программисты. Надо лишь взять подходящие проекты с открытым исходным кодом, соединить – и вуаля! – продукт готов.
Конечно, сам факт использования открытого кода не является чем-то зазорным. Да и в многообразии Open Source встречаются весьма хорошие проекты.
Проблема Open Source заключается в том, что это есть зависимость. Кодовые базы в репозиториях почти всегда контролируются сообществом. И что стало происходить с начала 2022 г.? Отключение доступа к репозиториям для российских компаний, закладки злоумышленников, которые определяют регион запуска продукта для изменения функциональности. Таких сюрпризов уже немало, но, скорее всего, их станет еще больше.
Второй негативный эффект от использования Open Source – это невладение кодовой базой. Какие-то в общем случае неизвестные программисты написали код, который в большинстве случаев невозможно проанализировать. Компания, которая берет за основу проект Open Source, по большому счету сама не знает, что внутри у получившегося продукта.
Один из популярных сценариев разработки на базе Open Source – создание форка (ответвления) от основного проекта. Дальнейшая разработка на такой кодовой базе сложна и непредсказуема. Если сообщество внесло в основную ветку какое-либо большое изменение, то первый путь для компании – отказаться от этих изменений и продолжать вести свою ветку. Второй путь – отказаться от своих доработок и вернуться в основную ветку, потому что зачастую форки становятся несовместимыми с материнским проектом. Есть и третий вариант: все свои правки добавлять в основной проект Open Source. Но в России это редкий случай, поскольку коммерческой компании всегда тяжело отдавать результаты своего труда в общее пользование.
Вот и получается то, что кодовая база Open Source совсем не принадлежит компании, ни лицензионно, ни фактически. Разработчики не могут ее контролировать, а значит, и не могут эффективно влиять на ее развитие.
Единственный верный вариант, к которому пришла компания UserGate, – это писать код самостоятельно. Это, безусловно, очень сложно, долго, дорого и трудоемко. Но стремящимся к технологической независимости разработчикам все равно придется рано или поздно выбрать этот путь. Только такое решение позволяет быть независимым от чужих технологий.
Технологическая независимость: железо
Ситуация с железом примерно такая же: есть производители аппаратных платформ, можно купить любую из доступных и поставить на нее свой софт, чтобы получить ПАК.
Но дело в том то, что NGFW – это весьма специфический класс систем. Он имеет дело с сетевым трафиком, а платформы общего назначения к такому приспособлены довольно плохо.
В сегментах малого и среднего бизнеса этот недостаток не очень заметен из-за не очень высоких нагрузок. Но если производитель NGFW становится заложником архитектуры общего назначения, путь на Enterprise-рынок для него, скорее всего, окажется закрытым.
На практике оказывается, что для устойчивой работы с большим трафиком нужно уметь проектировать и производить свое железо, а также работать с сетевым трафиком на этом уровне, а не только на уровне софта. Важно быстро обрабатывать сетевые пакеты, а для этого нужно уметь производить умные сетевые карты типа SmartNIC и сопроцессоры ПЛИС (FPGA).
Компания UserGate к этому долго шла, но сейчас активно занимается вопросами аппаратной независимости в парадигме "для специфичного устройства нужна специфичная аппаратная платформа".
Связка железа и софта
Еще один аспект – технологии, которые все же позволяют вести эффективную работу с сетевым трафиком на платформах общего назначения. Например, компания Intel продвигает технологию ускоренной обработки DPDK – это достаточно известная технология, и многие разработчики NGFW ее используют в своих решениях для повышения скорости обработки сетевого трафика. Но есть нюанс: такой путь так же зажимает разработчика в тиски чужой технологии, как это было в ситуации с кодовой базой. Разработчик адаптирует свой софт под технологию, которой он не владеет. Поэтому, как только появятся ограничения по ее доступности в России, вложенные в разработку инвестиции пропадают.
Технологическая независимость требует, чтобы вендоры систем защиты информации не попадали в зависимость ни от иностранных производителей софта, ни от производителей железа, ни от производителей технологий.
Компания UserGate еще несколько лет назад приняла решение идти по пути технологической независимости, и происходящие на рынке события подтверждают, что этот выбор был правильным.
Инсталляционная база
Технологическая независимость критично важна для устойчивого развития NGFW, но только ее недостаточно для создания лидирующего продукта.
На каждом этапе – проектирование железа, разработка софта и реализация связки между ними возникают объективные технологические препятствия, ведущие к задержкам в обработке сетевых пакетов и негативно влияющие на одну из главных характеристик NGFW – производительность. Устранение технологических барьеров – это время, которое нельзя заменить деньгами.
То есть не получится залить отдел разработки финансами для решения этой проблемы. Потому что, во-первых, продуктивность команды разработчиков очень сильно падает после достижения определенного, довольно небольшого, количества сотрудников: десять программистов не выполнят задачи в десять раз быстрее, чем один. Во-вторых, ни за какие деньги нельзя купить кейсы внедрения. Поэтому компания UserGate много лет инвестирует не только в разработку, но и в проекты.
Реальная универсальность и эффективность решения NGFW зависит от его инсталляционной базы. Имеется в виду возможность интегрировать существующие технологические стандарты в реальные решения, способность создавать масштабируемую архитектуру, готовую адаптироваться к различным потребностям и объемам трафика. Важно учесть также фактор неопределенности и постоянно меняющийся ландшафт угроз, чтобы обеспечить адаптивность и готовность к противостоянию новым вызовам.
К тому же при разработке технической функциональности обычно всегда можно ориентироваться на понятные стандартные протоколы, описанные, например, в RFC. Но есть еще огромное количество аспектов, которые никакими стандартами не описываются. В первую очередь это касается пользовательских интерфейсов. Для их успешного проектирования, тестирования и внедрения сверхважен процесс взаимодействия с заказчиком, получение валидной обратной связи от него, чтобы потом ее агрегировать, анализировать и формировать на ее основе технические задания для разработчиков. Этот процесс возможен, только когда инсталляционная база достигает определенного критического значения, нарабатываемого годами.
Экосистема вокруг NGFW
NGFW, безусловно, является ядром экосистемы UserGate. Но NGFW защищает не абстрактную сеть, а конкретную инфраструктуру, в которой помимо периметра есть и другие компоненты: VPN-каналы, веб-приложения, бизнес-системы и многое другое, что также нужно защищать.
Поэтому в портфеле UserGate появляются и другие решения: клиент UserID, Web Application Firewall, SIEM, Management Center и др.
Но в инфраструктуре у каждого заказчика живут множество систем от других производителей. Поэтому экосистемный подход – это все же про содружество, а не про изоляцию. У UserGate много технологических партнеров, и это тоже конкурентное преимущество, которое гарантирует, что, приобретая UserGate NGFW, заказчик без проблем сможет подружить его с "зоопарком" систем в своей инфраструктуре. NGFW – это сердце безопасности, и вендор должен давать возможность органично выстроить вокруг него эффективную систему защиты.
Конечно, использовать экосистему от одного производителя удобнее и выгоднее, потому что появляется больше возможностей за счет использования проприетарных протоколов. Но при этом никто не мешает подключить любого другого производителя.
Исследовательская лаборатория
UserGate Research Lab – это подразделение, которое отвечает за фундаментальные и стратегические исследования. Его цель – с одной стороны, определение вектора технологического развития компании, а с другой – разработка экспериментальных решений, которые могут привести к технологическим прорывам. Лаборатория не занимается разработкой или модернизацией конкретного продукта с востребованными в конкретный момент времени свойствами и характеристиками с целью извлечения коммерческой выгоды. Ее работа – реализация долгосрочной технологической стратегии компании, поиск новых направлений и возможностей.
UserGate Research Lab – это классическая исследовательская лаборатория. В ней собрана команда высококвалифицированных программистов, которые тестируют гипотезы в исследовательском режиме. Результаты экспериментов через некоторое время проникают в основной продукт, делая его еще инновационнее, безопаснее, надежнее, быстрее.
Это дорогое удовольствие, потому что программисты стоят дорого и найти их очень непросто. Но любая зрелая финансово устойчивая компания обязана реинвестировать часть прибыли в исследования для того, чтобы развивать используемые технологии. Это задел на будущее и выигрыш времени, которое является самым главным конкурентным преимуществом.
В заключение
Сегмент NGFW в России еще очень молод, да еще и перегрет спросом, образовавшимся после ухода всех иностранных вендоров. Потребуется несколько лет, чтобы пройти стадию незрелости и перейти в устоявшийся режим. К тому времени останутся несколько крупных игроков, которые будут конкурировать друг с другом не в формате презентаций, а в реальных пилотах. Этими игроками станут те компании, которые смогут обеспечить свою технологическую независимость, разовьют свою клиентскую базу, не забывая про экосистемность и инвестиции в перспективные разработки.
Именно тогда можно будет уверенно прогнозировать перспективы развития технологии NGFW и будущее это сегмента рынка в России.