Выбор NGFW: венчурные инвестиции или ставки на спорт?
Наталья Онищенко, 03/03/25
Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
Автор: Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
Эксперты:
- Алексей Громов, заместитель генерального директора ООО “Корбит” (входит в АО “ЦИКАДА”)
- Андрей Ларшин, руководитель направления NGFW компании RED Security
- Дмитрий Лебедев, ведущий эксперт, “Код Безопасности”
- Сергей Мотовилов, операционный директор “Глобал АйТи”
- Алексеи Прокопчук, руководитель группы разработки NGFW Traffic Inspector Next Generation, вендор “Смарт-Софт”
- Кирилл Прямов, менеджер по развитию UserGate NGFW
- Стас Румянцев, менеджер по продукту, InfoWatch
Вместо вступления
Начиная сотрудничать с новым вендором, мы тщательно собираем информацию о компании, отзывы, даже, если это есть в доступе, смотрим на публичную финансовую отчетность. В ней обычно легко отследить момент, когда компания начала инвестировать в разработку, например, NGFW: финансовые показатели резко идут на спад. С одной стороны, это понятно – вендор как коммерческая организация стремится создать продукт, привлекательный для покупателей. С другой стороны, не всегда очевидно, насколько хорошо вендор представляет реальные потребности своих клиентов.
Выделю особенно больные точки, которые остро чувствуются в нашей практике.
Проблема 1. Экосистема или мультивендорность?
Кажется, заказчики подошли к тому моменту, когда надо делать выбор: либо строить экосистему, либо идти в сторону мультивендорного подхода. Ведь у каждого разработчика, даже если он выпускает решения разных классов, неизбежно присутствует своя "однобокость" в видении. И, возможно, разумнее использовать оборудование от разных производителей, распределяя задачи с учетом их сильных сторон.
Например, один межсетевой экран мощный, но функционально сыроват – отлично, ставим его на сегментацию ЛВС. Другой не такой производительный, зато софт более отлаженный – значит, ему место на периметре. А вот третий просто идеально подходит для Remote Access VPN – почему бы не выделить ему эту роль? Таким образом, каждому вендору можно доверить ту задачу, в которой он действительно хорош. Конечно, если позволяют возможности.
Безусловно, управление парком NGFW значительно усложняется в мультивендорной инфраструктуре. Причем это случается нередко: где-то сохранилось оборудование с "лучших времен", что-то досталось при слиянии, а кто-то переехал в офис с уже готовой инфраструктурой.
В таких условиях обеспечить единую политику безопасности, которая обеспечивалась бы не только организационными мерами, становится настоящим вызовом. В то же время, возможно, это и не задача разработчиков NGFW, а повод посмотреть в сторону специализированного ПО, способного следить за соблюдением комплаенса и поддерживать порядок в таком разнообразии.
Комментарии экспертов
Дмитрий Лебедев, Код Безопасности: Спрос на российские СЗИ поставил ИБ-вендоров перед сложным выбором:
- Развивать продукты для задач вне основного продукта. Недостаток: оттягивание ресурсов для развития.
- Концентрация только на основной продукте. Недостаток: слабая зрелость решения для задач крупных заказчиков. Это особенно заметно при конкуренции с ведущими иностранными ИБ-вендорами. В итоге оптимальным решением для российских компаний оказалось создание технологических партнерств с другими ИБ-вендорами. Так партнеры могут объединить лучшие наработки в рамках одного продукта, а крупные заказчики получают всю необходимую функциональность.
Сергей Мотовилов, Глобал АйТи: Чем сложнее и функциональнее архитектура системы, тем больше технических решений требуется для обеспечения ее защиты.
Одним из ключевых факторов, влияющим на выбор решений, становятся виды и сложность бизнес-процессов, настроенных в организации. Эти процессы не только обеспечивают ее функционирование, но и делают ее эффективной и прибыльной. Задача систем защиты – не просто защищать инфраструктуру, а обеспечивать защиту бизнес-процессов.
Организации с разными процессами предъявляют уникальные требования к решениям ИБ и, в частности, к NGFW. Зачастую разнообразие задач, связанных с обеспечением безопасности, невозможно закрыть одним, двумя или даже тремя решениями. Мультивендорный подход становится технической необходимостью нашего времени.
Важно осознанно подходить к вопросам мультивендорности: анализировать задачи, искать оптимальные сочетания решений и минимизировать их количество, чтобы добиться баланса между эффективностью и управляемостью инфраструктуры.Андрей Ларшин, RED Security: Попытки некоторых вендоров навязать именно свою экосистему часто вызывают негативную реакцию со стороны заказчиков, особенно крупных. Ведь они вложили в собственную среду управления много сил, времени и хорошо ее отладили. В таких компаниях речь не идет о создании ИБ-системы с нуля. Поэтому наш подход – не навязывать экосистему, а предлагать решение задач заказчика. Мы стремимся предоставить максимум открытых, документированных интерфейсов и возможностей для легкой интеграции. Но при этом мы готовы обеспечить экосистему ИБ-решений тем, кому это действительно нужно.
Стас Румянцев, InfoWatch: Мы развиваем наш NGFW с учетом мультивендорного подхода, интегрируясь со сторонним ПО, чтобы заказчик мог использовать лучшие решения в каждой области, не впадая в зависимость от одного поставщика. Уже сейчас мы поддерживаем сторонние решения для двухфакторной аутентификации, системы мониторинга, антивирусы (ICAP), SIEM-системы (syslog) и др. Планируем расширять этот список в будущем.
Алексей Прокопчук, Смарт-Софт: Traffic Inspector Next Generation гибко адаптируется под конкретные нужды: для простых задач подойдет старое оборудование или виртуальные машины, для критичных по нагрузке узлов можно выделить мощную платформу, расширить функциональность можно за счет плагинов. Таким образом, у нас комбинируются узлы разной функциональности и исполнения с унифицированным контролем, применением политик и настроек из единого центра управления при помощи модуля CMS.
Алексей Громов, Корбит: Следует понимать, что под экосистемой безопасности сети подразумевается не просто применение межсетевых экранов разных производителей, а комплексное использование различных функций и систем безопасности, включая анализ инцидентов, разработанных одним вендором.
Любая экосистема предполагает определенные издержки, которые в конечном итоге покрывает потребитель в виде брендовой надбавки. Решение CoreBit.NGFW обеспечивает интеграцию с распространенными песочницами, а также с SIEM-системами посредством API партнеров, гарантируя соответствие требованиям информационной безопасности в гетерогенной инфраструктуре заказчика без дополнительных брендовых надбавок.Кирилл Прямов, UserGate: Экосистемность и мультивендорность – не противоречащие друг другу понятия. Так, наличие в нашем портфеле широкого спектра продуктов, решений и услуг, объединенных в экосистему UserGate SUMMA, позволяет предложить заказчику комплексный подход к защите его цифровой инфраструктуры. Конечно, наши решения настроены для работы друг с другом. Однако мы открыты для интеграции со сторонними разработчиками и их решениями. Более того, мы считаем, что это необходимо, – в первую очередь, для удобства заказчика. Например, мигрировать большую инфраструктуру необходимо по сегментам. А это значит, что какое-то время в ней должны будут работать вместе решения разных производителей. Кроме того, подобный подход дает нам возможность внедрять наши решения там, где уже стоят продукты наших коллег по рынку, и успешно работать с ними вместе.
Проблема 2. Дорогое пилотирование
Пилотное тестирование оборудования – задача не из легких, особенно когда речь идет о приобретении устройств. Вендоры, как правило, предлагают оборудование на ограниченный срок, например на две недели. Но за такой короткий период сделать полноценные выводы практически невозможно, особенно если приходится тестировать сразу несколько отечественных решений в связке.
В итоге железо приходится покупать, причем далеко не всегда понятно, что с ним делать после завершения испытаний. А оно, к слову, недешевое, и продление гарантии производителя может выливаться в значительные финансовые затраты.
Многие слышали о тестировании NGFW со стороны Банка России – это, безусловно, полезная инициатива. Однако нужно учитывать, что трафик в банках и, скажем, в энергетике имеет совершенно разный характер. То, что отлично работает в банковском секторе, может оказаться далеко не так эффективно в других отраслях.
Сообщества уже подталкивают регуляторов к поиску централизованных решений, которые учитывали бы специфику каждой отрасли. Более того, посещая предприятия нашего профиля, мы замечаем интересную тенденцию: несмотря на отсутствие координации, многие выбирают почти одинаковый набор оборудования.
Но было бы куда лучше, если бы мы делали этот выбор сообща.
Комментарии экспертов
Сергей Мотовилов, Глобал АйТи: Миф о высоких затратах на пилотирование больше не актуален. В условиях необходимости импортозамещения и конкуренции между вендорами за освободившуюся долю рынка пилотные тестирования стали доступными. Сегодня многие вендоры готовы предоставить оборудование на разумные сроки, а крупные интеграторы обзавелись собственными тестовыми парками и виртуальными стендами.
Стандартным стало также сопровождение пилотных проектов техническими специалистами вендора и интегратора. Это позволяет заказчикам получать необходимые данные для принятия решения без дополнительных финансовых затрат.
Однако ключевым фактором остается временной ресурс сотрудников со стороны заказчика. Эффективное управление процессом пилотирования, включая привлечение профильных интеграторов, позволяет минимизировать эти затраты и сократить сроки проведения тестов, сохраняя при этом качество пилотных испытаний.Дмитрий Лебедев, Код Безопасности: Есть несколько вариантов протестировать NGFW:
- Быстрый, когда можно посмотреть результаты независимых тестирований.
- Правильный, когда можно протестировать NGFW в своей инфраструктуре на боевом трафике.
Если идти по второму варианту, то необходима, как минимум, программа и методика испытаний (ПМИ), которую можно составить самостоятельно или взять у вендора.
Наш NGFW "Континент 4" мы абсолютно бесплатно предоставляем в пилотные проекты. Есть варианты протестировать функционал и производительность как на виртуальных машинах, так и на аппаратных платформах.Стас Румянцев, InfoWatch: Мы предоставляем оборудование и поддержку инженеров на месяц, чтобы заказчик мог полноценно протестировать наш продукт в своей инфраструктуре. При необходимости мы настраиваем интеграции со сторонними решениями: двухфакторной аутентификацией, песочницей, SIEM и др. В большинстве случаев месяца достаточно, чтобы оценить, насколько решение соответствует потребностям заказчика и его задачам.
Кирилл Прямов, UserGate: Пилотирование – это, безусловно, инвестиция. И к нему нужно относиться именно так. Если компания приняла решение осуществить пилотный проект на вашем решении, значит ее намерения серьезны, у вас есть шанс сделать так, чтобы оно осталось там навсегда. Ограничения по времени могут быть связаны не с тем, что на это оборудование есть большой спрос, а с тем, что у производителя его нет в наличии в достаточном количестве. Или оно выпущено ограниченным тиражом. Можно ли доверить такому производителю свою безопасность, если речь идет о серьезном проекте, – вопрос, который каждый директор по ИБ решает для себя сам.
Алексей Прокопчук, Смарт-Софт: Лучший вариант тестирования оборудования для предприятия – на собственной инфраструктуре и своем сетевом трафике. Такая возможность есть, в том числе, при поставке Traffic Inspector Next Generation как программного обеспечения, что позволяет отказаться от затрат на аппаратные платформы. У нас было успешное внедрение через тестирование с крупным химическим предприятием: заказчик провел полное функциональное тестирование продукта с участием техподдержки компании "СмартСофт".
Андрей Ларшин, RED Security: Настойчивые попытки создать универсальные методики пилотирования, стандартизованные смеси трафика для испытаний NGFW так и не привели к успеху. Клиентов мало интересует "сферический конь в вакууме". Рынок возвращается к старой доброй практике: если вы крупный заказчик – пилотируйте решение сами в реальной работе; если нет времени на тесты – используйте мнение авторитетных клиентов и специалистов. Если вендор не дает достаточно времени на пилот и не обеспечивает консультационную поддержку, не выбирайте его решение.
Алексей Громов, Корбит: Наша продуктовая линейка основана на стандартном серверном оборудовании, обеспечивающем экономически эффективное масштабирование пилотных проектов. Дополнительно предлагаются варианты пилотного внедрения с использованием образов ESXi и KVM, как для узлов безопасности сети, так и для центра управления сетью с внешним подключением к песочницам и SIEM-системам партнеров. Таким образом мы обеспечиваем клиентам минимизацию затрат на пилотирование, внедрение и обслуживание нашего решения.
Проблема 3. Диагностика и мониторинг
Конфигурации и настройки NGFW, особенно списки контроля доступа (ACL), нередко превращаются в хаос. Количество записей растет до таких масштабов, что управление ими становится настоящим испытанием: ошибки конфигурации учащаются, а поиск нужного правила превращается в затяжной квест.
К тому же, изменение одного правила может неожиданно создать проблемы в других сегментах сети, что добавляет головной боли. Заказчикам все чаще требуются централизованное управление и аудит ACL, чтобы упростить работу и сохранить контроль над всеми устройствами в инфраструктуре.
Но эта функциональность, увы, как вишенка на торте, которую выкладывают, когда сам торт уже полностью готов, – и то, если останется место. Диагностика, кажется, всегда оказывается в хвосте приоритетов, а заказчики вынуждены изобретать велосипед: либо подгонять под свои нужды сторонние инструменты, иногда для этого вообще не предназначенные, либо городить собственные решения.
Вроде бы с мониторингом еще можно выкрутиться – отдать его в SIEM, но, например, за утилизацию ресурсов он отвечать не станет. Это вообще не его профиль. А уж про диагностику и вовсе говорить страшно.
Остается вопрос: как лучше организовать управление в таких условиях, чтобы упростить их администрирование и минимизировать риски ошибок?
Комментарии экспертов
Дмитрий Лебедев, Код Безопасности: В крупных предприятиях используются десятки сетевых устройств. За каждым устройством необходим контроль. И в случае с NGFW этот контроль заключается в двух задачах: аудит конфигурации устройств и централизованное внесение изменений в конфигурацию.
На NGFW могут быть настроены сотни и тысячи правил МСЭ.
- Какие-то правила со временем устаревают: два года назад предоставили доступ подрядчику, теперь это правило неактуально, но оно может до сих пор существовать в конфигурации.
- Другие правила могут конфликтовать между собой: пять лет назад руководство решило всем разрешить доступ в Интернет, месяц назад получили распоряжение ограничить этот доступ для определенных пользователей по определенным протоколам. Создали новое правило, но почему-то все пользователи всё также ходят в Интернет без ограничений.
Очевидно – есть проблема при конфигурировании. Такие проблемы можно увидеть через выделенные системы контроля конфигураций.
Кирилл Прямов, UserGate: Для централизованного управления лучше использовать специальные инструменты, которые предлагает производитель. Идеально, если портфель разработчика включает набор собственных продуктов и услуг для мониторинга и диагностики, либо его решения открыты для подключения сторонних сервисов. В решениях UserGate реализованы оба этих подхода.
Стас Румянцев, InfoWatch: В нашем NGFW правила применяются к сетевым зонам, что упрощает управление и исключает необходимость создания множества правил для конкретных IP-адресов. Для контроля утилизации ресурсов и сетевых интерфейсов реализована интеграция с внешними системами мониторинга. Для удобства управления парком NGFW предусмотрен отдельный продукт – Management Console, который помогает централизованно управлять устройствами и следить за их состоянием.
Алексей Громов, Корбит: При проектировании архитектуры центра управления сетью мы уделили особое внимание средствам диагностики и анализа правил фильтрации, которые предоставят администратору статистику по правилам и помогут в выявлении аномалий. В III квартале 2025 г. планируется внедрение в ЦУС дополнительной функции анализа аномалий следующих типов: затемнение, обобщение, корреляция и избыточность. Реализация данных функций обеспечит администратору возможность выявления аномалий как в глобальных, так и в локальных секциях правил фильтрации с последующим удалением некорректных правил.
Сергей Мотовилов, Глобал АйТи: Диагностика и мониторинг – проблемы решаемые, если подойти стратегически. Ключ к успешному управлению лежит в грамотном планировании. Если изначально заложить развитие технической инфраструктуры в рамках общей стратегии, можно избежать многих проблем, связанных с мониторингом и аудитом.
Современные решения диагностики и мониторинга быстро развиваются, предоставляя инструменты для централизованного управления и аудита ACL. Это позволяет упрощать администрирование и минимизировать риски ошибок даже в сложных инфраструктурах.
Однако в некоторых случаях масштаб проблемы требует кардинального подхода, например внедрения специализированных инструментов или пересмотра текущих процессов. Привлечение профильных специалистов и использование современных технологий помогают сделать управление удобным и надежным.Андрей Ларшин, RED Security: Централизованная система управления группой NGFW с обеспечением единых ИБ-политик, ролевой модели доступа и иерархии администрирования – просто обязательный элемент для корпоративных заказчиков. При этом система управления NGFW и сама должна быть защищена и продублирована. Никто не отменял и необходимость документирования ряда функций: например, к каждой группе правил должна быть приложена служебная записка. Поэтому при выборе поставщика важно обратить внимание, способен ли он все это обеспечить. Без такого сопровождения, пожалуй, могут обойтись лишь небольшие заказчики.