Александр Баринов, ГК «Солар»: Часто требуется заменить импортное оборудование, принимая во внимание не только его основные технические характеристики, но и физические размеры устройства

Александр Баринов, директор портфеля продуктов сетевой безопасности ГК «Солар», рассказал порталу Cyber Media об особенностях аппаратной части ИБ-продуктов и специфике их проектирования «в железе».

Cyber Media: Создание аппаратной платформы и как следствие ПАК для решений ИБ – это долгий и сложный путь, требующий больших инвестиций на старте, которые «отбиваются» гораздо медленнее, чем в случае с выпуском программного обеспечения ИБ. А какие преимущества дает вендору работа с аппаратными платформами и ПАК в ИБ?

Александр Баринов: Да, несомненно, у программного обеспечения ИБ более короткий time-to-market, т.е. срок выхода на рынок, разработка требует меньших затрат по сравнению с программно-аппаратными комплексами, и главное преимущество – простота внесения правок, исправлений и обновлений. Однако в ИБ-индустрии есть свои аспекты.

Первый важный аспект заключается в том, что некоторые продукты могут быть представлены на рынке исключительно в форме программно-аппаратных комплексов. Если компания стремится занять определенный сегмент на рынке, то ей необходимо разрабатывать именно аппаратные решения. Примером такого подхода является наш Solar NGFW.

Второй аспект заключается в том, что, несмотря на, более высокие затраты на разработку аппаратных решений, часто размер рынка тоже оказывается больше, ввиду меньшего количества участников с программно-аппаратными решениями, высокими требованиями регуляторов к ИБ и жизненным циклом внедренного ПАК.

Третий важный аспект заключается в том, что добавленная стоимость и прибыль компании вендора выше, по причине продажи как программной, так и аппаратной части, неотъемлемо связанных друг с другом. Мы играем по правилам этого рынка и стремимся удовлетворить требования заказчиков и регуляторов, которые возможно выполнить путем выпуска продукта в виде программно-аппаратного комплекса.

В качестве преимущества хочется отметить, что, разрабатывая программно-аппаратное решение, мы используем функциональные возможности вычислительной архитектуры и ее производительность. Когда мы используем виртуализацию или сервера общего назначения, то, как итог получаем среднюю производительность у продукта и серьезные ограничения со стороны регуляторов. Однако если мы проектируем решение, специально адаптированное под конкретную аппаратную платформу, то достигаем максимальной производительности с учетом всех необходимых требований регуляторов.

Cyber Media: Какие требования в части функциональных свойств и характеристик выдвигаются к разработчику и производителю «железа» для успешного внедрения программного обеспечения ИБ?

Александр Баринов: Если мы говорим в контексте универсального ПАК NGFW, это сетевое устройство, и основное требование – наличие большого количества разнородных сетевых интерфейсов, высокопроизводительных компонентов, способных обрабатывать трафик. Особые преимущества в повышении производительности дают специализированные сетевые процессоры и различные ускорители на FPGA. Немаловажным является поддержка резервирования каналов передачи данных в сетях заказчика со стороны ПАК.

К обязательным требованиям безопасности стоит отнести, механическую защиту от вскрытия пломбированием корпуса и возможность применения других организационных мер по предотвращению несанкционированного доступа на физическом уровне, защиту от подмены сетевых интерфейсов, к примеру, hot swap. На программном уровне – защиту при загрузке ПО встроенными средствами проверки целостности BIOS и ПО NGFW такими как модули доверенной загрузки МДЗ или АПМДЗ во избежание бэкдоров и шпионских компонентов на уровне загрузчиков.

Важным и обязательным условием является соответствие аппаратной платформы требованиям РРЭП (Реестр российской промышленной продукции) с подтвержденным производством на территории РФ в рамках ПП РФ от 17.07.2015 г. № 719 со всеми вытекающими последствиями и требованиями ГОСТ по разработке, постановке на производство и серийному производству.

Cyber Media: Важный элемент любого устройства – это его эксплуатационные качества. В этом контексте высота и глубина могут оказаться не менее значимыми, чем ИБ-характеристики. Какие требования можно считать в этом контексте типовыми?

Александр Баринов: Размеры устройства играют важную роль в контексте импортозамещения. Часто требуется заменить импортное оборудование, принимая во внимание не только его основные технические характеристики производительности и сетевые интерфейсы, но и физические размеры устройства, включая высоту и глубину. Важным является и энергопотребление.

Зачастую невозможно увеличить количество юнитов в стойках заказчика в уже существующей инфраструктуре. Например, если заказчик импортозамещает сетевое оборудование с форм-фактором 1U или 2U у него может не быть свободного места, резервов по питанию или охлаждению в имеющейся стойке или серверной. Поэтому при создании нашего первого программно-аппаратного комплекса Solar NGFW мы стремились сделать его максимально компактным – в форм-факторе 1U глубиной 650мм, поскольку это стандартная глубина для телекоммуникационного оборудования, что позволяет устанавливать ПАК в любые серверные стойки и шкафы.

Cyber Media: Какие отличительные особенности есть у ИБ-устройств, например, в сравнении с серверами общего назначения?

Александр Баринов: Если смотреть на это упрощенно, я бы отметил две ключевых особенности. Первая особенность, это наличие большого количества сетевых интерфейсов разных типов и скоростей: 1, 10, 25, 40, 50, 100 Гбит/сек. В серверах общего назначения, как правило, множество жестких дисков и других типов накопителей.

Вторая особенность, это архитектура коммутации PCI Express сетевых интерфейсов в многопроцессорных системах для распределения нагрузки сетевого трафика, что не всегда реализуемо в серверах общего назначения.

Cyber Media: Вопрос электроники, микроэлектроники и конструирования аппаратных платформ с последующим серийным производством в России стоит достаточно остро. Насколько сложно пройти полный цикл R&D и постановки на производство, или как минимум подобрать комплектующие и как лучшим образом построить процесс в тех случаях, когда неизбежно придется использовать комплектующие иностранного производства?

Александр Баринов: Для нас установлены жесткие требования со стороны регуляторов, таких как Минпромторг в части РРЭП (Реестр российской промышленной продукции) с подтвержденным производством на территории РФ в рамках ПП РФ от 17.07.2015 г. № 719, ФСТЭК в части сертификации программно-аппаратных комплексов по требованиям информационной безопасности и органов по сертификации ЭМС и электробезопасности. Поэтому возможность обеспечения поставок и серийного производства разработанных платформ в ретроспективе 3-5 лет для нас жизненно важна, особенно если эти платформы имеют сертификат ФСТЭК.

Для подстраховки возможности производства на этапе разработки мы закладываем перечни допустимых замен комплектующих и сертифицируем несколько исполнений. Тем не менее наличие надежного партнера и совместная проработка долгосрочной стратегии развития аппаратных платформ на несколько лет вперед для нас является первоочередными факторами обеспечения собственной надежности, качества и уверенности в завтрашнем дне.