Успеем? Как проходит импортозамещение NGFW

В России идет импортозамещение систем защиты сетевых инфраструктур. По планам правительства, оно должно полностью завершиться до конца года. Алмаз Мазитов, менеджер по развитию бизнеса NGFW в Innostage рассуждает, можно ли уложиться в отведенные для перехода на отечественные решения сроки.

Сейчас на рынке представлены более 20 российских вендоров межсетевых экранов нового поколения (NGFW). Цифра для нашего рынка внушительная. Может показаться, что в отрасли царит конкуренция, а главная проблема потребителей услуги — слишком большой выбор. На практике ситуация далеко не радужная, и большинство игроков на рынке NGFW присутствуют номинально.

Мы тщательно изучили решения 12 вендоров и пришли к выводу, что у большинства из них довольно сырые продукты. Как правило, это просто Linux с надстроенными библиотеками. Такое «решение» может собрать даже студент. Далее у гипотетического студента не возникнет проблем с получением сертификата ФСТЭК, и так на рынке появляется двадцать третий поставщик фаерволов следующего поколения.

На базовом уровне, создать межсетевой экран можно в короткие сроки по инструкции из интернета. Конечно, в реальности работать с таким средством защиты будет не слишком приятно, и точно небезопасно. Как производительность, так и функциональность могут быть совершенно произвольными. И если функциональность можно оценить с помощью тестов, то проверка отказоустойчивости возможна лишь в «боевых» условиях. И расплата за ошибку может быть колоссальной.

Думаю, что через 3 года выживут не более шести вендоров, которые будут отталкиваться в разработке от использования опыта зарубежных аналогов. Те «решения», которые может собрать не совсем опытный инженер Linux, по функциональности представляет собой 2% от того, что может предложить проверенный зарубежный вендор. Все заказчики это понимают и не торопятся использовать отечественные решения, что тормозит и без того не самое активное импортозамещение отрасли.

В общей картине выделяются несколько поставщиков, решения которых на голову выше конкурентов. Но и они сталкиваются с огромными сложностями. В первую очередь, это стоимость интеграции и дефицит кадров.

Иллюзия конкуренции

Конечно, в первую очередь, это UserGate. Также на слуху, Айдеко, Инфотекс, Код Безопасности. Можно сказать, что технологически они находятся на одном уровне, но у UserGate большой отрыв по продажам. Настолько большой, что компанию можно назвать монополистом. Ежегодно UserGate вырастает вдвое.

Далее, есть Positive Technologies, которые анонсировали интересное решение . Фичи, которые они обещают внедрить, очень нужны рынку. Особенно верхнему его сегменту — ЦОД, банкам и прочим клиентам с особыми требованиями к производительности и надежности. Ждем, что из этого получится.

Интересно, что именно внедрение фаервола Positive Technologies заставило UserGate вводить скидки в 30% на некоторые модели. То есть, происходит то, чего ожидаешь от конкурентного рынка. В скором времени начнется война за цены и рынок, что может стать новым драйвером развития качества и снижения стоимости решений.

Внедрение проще проводить с нуля. Одна из самых больших проблем — разрыв по функциональности между старыми и новыми решениями. Клиенту непросто объяснить, почему от привычного функционала приходится отказаться. Также нужно обучать людей работать с новым набором фич сетевых экранов. Мы проводим обучение в лаборатории. Это 2 недели интенсивных очных курсов с лабораторными работами.

Хуже не значит дешевле. Особенности российских NGFW-решений

Российские решения пока не выдерживают конкуренции с зарубежными гигантами и на уровне стоимости. Цена их интеграции может быть в 4 раза выше! Почему так происходит, и из чего складываются эти суммы?

В первую очередь, дело в отсутствии реальной конкуренции. Монополия на рынке ведет к увеличению стоимости. Далее — поставки чипов. Уйти от Intel х86 не получится. Если даже предположить, что возможно использовать отечественные материнские платы, с чипами такая история не сработает. Их приходится закупать, а стоимость растет вместе с курсом доллара и логистическими издержками.

Дефицит кадров — огромная проблема, о которой не говорит только ленивый. Для того, чтобы заняться миграцией существующего фаервола, нужен руководитель проекта, эксперты, инженеры. Количество людей растет по экспоненте вместе со сложностью проекта, и может доходить до десятков сотрудников.

Кроме того, эксперты по интеграции в данном случае всегда узкоспециализированные. Нельзя перенести экспертизу, например, с VIPNet на UserGate. Для переобучения необходимо время, а значит, затраты также растут. В большинстве случаев, такое перепрофилирование — нецелесообразная трата инженерных ресурсов.

Другим огромным пробелом является техническая поддержка. Она критически важна для бизнеса, особенно на стадии внедрения «сырых» решений и тестирования. Но если зарубежные вендоры приходили на помощь в день обращения и решали задачу за несколько часов, то у наших поставщиков здесь огромный пробел. У некоторых вендоров премиальная поддержка стоит 30% от стоимости оборудования. Если у клиента такой поддержки нет, то решение проблемы могут отложить на два-три дня. А что случится, если на три дня «ляжет», например, Сбер, даже представить невозможно.

Чем дополнять отечественные NGFW

В обязательном порядке необходима система SIEM, чтобы была возможность коррелировать события — была ретроспектива и доступ к динамике в реальном времени. Важно держать обновления на сетевом экране, выполнять IBS и URL фильтрацию.

Обязательно нужна «песочница» для диагностики файлов. Соответственно, необходимы различные ролевые политики для предотвращения возможных атак с социальной инженерией. Занесенный извне «зловред» может открыть себе порт, что дает брешь в системе безопасности.

Для атак с социальной инженерией, конечно, есть и другие способы защиты, такие как банальный антивирус, агенты, XDR и EDR. Формально они уже не будут являться частью NGFW и станут дополнительным слоем защиты. Но не возбраняется обмен информацией между NGFW и endpoint-решениями для обогащения информации об угрозах.

Есть множество сторонних интеграций, проверяющих со стороны NGFW активность таких защит. У UserGate есть собственный клиент, который в том числе определяют, включен ли локальный сетевой экран, установлен ли антивирус и т.д. Если обнаружено нарушение, перекрывается доступ. Скоро, конечно, такие решения станут повсеместными.

Как происходит замещение решений на практике

Для применения реально возможных сценариев решений мы предлагаем схему, которую называют «сэндвичем». В этом сценарии у заказчика уже стоит свой фаервол. Чтобы обеспечить формальный переход, и сохранить систему функциональной, ставим поверх него фаервол от того же UserGate и PT.

Это не какой-то трюк, а соблюдение банальных требований отказоустойчивости: в течение года постепенно переносим функционал, выполняя различные тестирования. Только когда уверены в том, что система не даст течь, отключаем старые контуры защиты. Мы не можем предлагать решения, которые работают только на бумаге, и поэтому активно пропагандируем такой подход.

У текущего кластера фаерволов есть свои настройки, которые нужно перенести. Правила, которые нужно транслировать. Порой это тысячи и десятки тысяч правил, что очень замедляет процесс. А стоимость самого фаервола, составляет, как правило, 25-30% от всего проекта по интеграции. Интеграция должна быть выполнена на высочайшем уровне, а это стоит времени и дополнительных усилий.

Самый ответственный момент — когда конфигурация перенесена, и нужно переключить один фаервол на другой. Даже если все хорошо, после этого следует несколько дней и ночей круглосуточного дежурства и готовности вручную закрывать возможные проблемы. Здесь возможен как «оперативный ремонт», так и откат к старой схеме.

В какие сроки возможно реальное замещение решений?

Непреодолимым препятствием на пути внедрения отечественных решений выступает то, что компании не хотят использовать сырые фаерволы. Срыв сроков оказывается меньшим из зол, если представить себе последствия коллапса инфраструктуры. Главные риски здесь у самых требовательных компаний, таких как ЦОДы. Им необходима гарантия, что после интеграции защита будет работать. Для этого нужно, чтобы фаервол проработал в тестовой зоне хотя бы полтора или два года.

У государственных органов в этом плане нет выбора — все зарубежные вендоры под строгим запретом. Поэтому они довольствуются российскими решениями, которые хотя бы формально закрывают необходимый по требованиям ЕГИС функционал. Тем временем, для критической информационной инфраструктуры необходимо заменить также все коммутаторы, маршрутизаторы, Wi-Fi решения до начала 2025 года.

К сожалению, большинство компаний не успеют этого сделать. Даже у тех фаерволов, которые развивались порядка 10 лет, не хватает отказоустойчивости и производительности, чтобы закрыть требования крупных и сверхкрупных заказчиков. По моим ощущениям, зарубежные решения просуществуют еще 3-4 года.

Ключевые параметры, по которым мы отстаем — надежность и производительность, как в количестве правил, так и пропускной способности в ГБ/с. Это наша ахиллесова пята, из-за которой уложиться в выделенные для замещения решений сроки, скорее всего, не удастся.