Зрелый NGFW: как совместить сертификацию, производительность и качество защиты

Регуляторы требуют сертификации, заказчики — стабильности, а инфраструктура крупных компаний утратила чёткий периметр. Как совместить высокую производительность и качество, выстроить эшелонированную защиту? Об этом — представители Банка ПСБ, Т-Банка и «Кода Безопасности».

 

 

 

 

 

 

1. 1. Введение
2. 2. Как влияют требования регуляторов на NGFW
   
   1. 2.1. Блиц: баланс приоритетов в защите сети
3. 3. «КиберАльянс»: комплексная система кибербезопасности
   
   1. 3.1. Автоматизация и API
   2. 3.2. Удалённый доступ
   3. 3.3. Масштабирование NGFW
   4. 3.4. Динамическая маршрутизация
4. 4. Развитие применения NGFW
5. 5. Проблемы перехода с иностранных решений на отечественные
6. 6. Планы развития «Континент 4»
7. 7. Выводы

Введение

Зрелый межсетевой экран нового поколения (Next-Generation Firewall, NGFW) сегодня должен эффективно работать не только на периметре, но и в центрах обработки данных, и в территориально распределённых сетях. Однако на пути к этой универсальности возникает множество противоречий: сертификация удлиняет вывод продукта на рынок, стабильность вступает в конфликт с появлением новых функций, а производительность нередко приносится в жертву качеству защиты.

Заказчики хотят надёжности, но не готовы ждать годами. Разработчики стремятся к инновациям, но не могут рисковать стабильностью. Как найти баланс? Об этом поговорили эксперты Банка ПСБ, Т-Банка и компании «Код Безопасности».

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Сергей Алешинский, начальник управления безопасности инфраструктуры Департамента координации защиты информации, Банк ПСБ.
• Николай Буянов, руководитель отдела инфраструктурной безопасности, Т-Банк.
• Кира Малухина, менеджер по продукту NGFW, «Код Безопасности».
• Дмитрий Лебедев, ведущий эксперт, «Код Безопасности».
• Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности».

Ведущий и модератор эфира — Денис Батранков, основатель «Академии ИБ и ИИ».

 

 

Как влияют требования регуляторов на NGFW

Кира Малухина пояснила, что требования по сертификации действуют на протяжении всего цикла разработки. Любая новая функция автоматически направляется в службу сертификации, которая проверяет легитимность её использования и необходимость корректировок. Это влечёт дополнительные расходы на каждую фичу уже на этапе разработки.

Далее следует процесс сертификации, и на практике нередко случается, что продукт полностью готов к релизу, но в ходе сертификации возникают замечания. Требуется дополнительное время на исправления, повторные исследования и подготовку отчётных материалов, в результате чего выход готового продукта на рынок существенно затягивается. При этом немногие заказчики готовы внедрять решение без сертификата.

Кроме того, Кира Малухина отметила, что иногда требования сертификации вступают в противоречие с удобством, хотя для заказчика важны как безопасность, так и простота использования.

Павел Коростелев обратил внимание на два противоположных момента. С одной стороны, сертификация создаёт нагрузку на разработку и удлиняет время выхода продукта на рынок. С другой стороны, для заказчиков важно наличие сертификата и сама способность вендора его получить. Это большой объём работы и инвестиций, который со стороны клиента воспринимается как гарантия того, что вендор намерен долго работать в данной нише. Помимо этого, требования, связанные с устранением уязвимостей, заметно продвигают всех участников рынка вперёд и служат для заказчиков надёжной гарантией качества.

 

Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности»

 

Блиц: баланс приоритетов в защите сети

Должен ли зрелый NGFW эффективно работать во всех точках сети?

Дмитрий Лебедев: «Зрелый NGFW должен соответствовать всем сценариям использования. Мы выделяем их три: периметр, территориально распределённые сети, защита ЦОД либо внутренней инфраструктуры. Для каждого из этих сценариев ключевым будет абсолютно разное.

На периметре — это веб-фильтрация, фильтрация по пользователям, защита публичных веб-приложений. В случае защиты ЦОД акцент делается на высокую пропускную способность и стабильность, доступность сервиса должна обеспечиваться с минимальными задержками. Для территориально распределённых сетей — это защита каналов связи VPN и централизованное управление.

Сложно соответствовать всем трём сценариям для создания зрелого NGFW, но, с другой стороны, это уже сейчас появляется. Мы уже хорошо чувствуем себя в периметре и территориально распределённых сетях и делаем акцент на развитии защиты ЦОД и внутренней сети».

Что важнее — быстрое появление новых функций или стабильность?

Кира Малухина: «Сколько бы функциональных возможностей ни было в продукте, стабильность всё равно остаётся в приоритете. Для заказчика, безусловно, плюс, когда появляются новые функции, но когда дело доходит до внедрения в продуктивную среду, на первый план выходят качество и стабильность».

 

Кира Малухина, менеджер по продукту NGFW, «Код Безопасности»

 

Что важнее — производительность или качество защиты?

Николай Буянов: «Я за качество защиты, но без потери производительности. С одной стороны, хочется всего и сразу. Но в первую очередь мы смотрим на защищённость, а уже потом на производительность. Мы не можем позволить, чтобы при смене зарубежного вендора на отечественного у нас появилась дыра в защите. Производительность всегда будет на втором месте, либо можно придумать решения, как эту производительность повысить».

В чём проблема соглашений об уровне сервиса (Service Level Agreement, SLA)?

Павел Коростелев: «Проблема в системно недосмотренных критериях при работе с сетевой безопасностью. Организация адаптируется к внешней среде, и она должна быстро меняться. Для этого нужно своевременно инвентаризировать новые активы, добавлять их и держать в актуальном состоянии в базе сетевых объектов, согласовывать изменения с сетевиками, безопасниками и комплаенсом. Всё это необходимо своевременно применять и сделать так, чтобы вероятность ошибки настройки файрвола была нулевой. И всё это должно быть реализовано на уровне процессов у самого заказчика».

В первом опросе зрители ответили, какой процент иностранных межсетевых экранов (МСЭ) / NGFW они перевели на отечественные:

• От 26 до 50 % — 42 %.
• До 25 % — 27 %.
• От 76 % и выше — 18 %.
• От 51 до 75 % — 13 %.

 

Рисунок 2. Какой процент иностранных МСЭ / NGFW вы перевели на отечественные?

 

«КиберАльянс»: комплексная система кибербезопасности

Павел Коростелев рассказал, что два-три года назад в компании осознали: файрвол больше не может жить сам по себе. Он обязан быть встроен в экосистему крупного заказчика и интегрироваться с сервисами, которые уже там работают. Только так клиент получит реальную дополнительную ценность.

При этом закрытая экосистема — не их путь. У «Кода Безопасности» есть направления, где они сильнейшие на рынке: сетевая безопасность, защита эндпоинтов и виртуализации. Всё остальное они оставляют технологическим партнёрам, с которыми уже работают, продолжат сотрудничать и активно интегрироваться.

«Код Безопасности» идёт по трём большим направлениям работы в альянсе с ключевыми игроками рынка:

1. Защищённый удалённый доступ. Нужно тесное взаимодействие с разработчиками операционных систем, без этого нельзя построить нормальный VPN-клиент. Многофакторная аутентификация. Комплаенс-контроль.
2. Безопасность — интеграция с системами управления информацией и событиями безопасности (Security Information and Event Management, SIEM), песочницами, фидами данных о киберугрозах (Threat Intelligence, TI). Финсектор — одна из ключевых точек консолидации знаний об угрозах. Банки создают продукты, содержащие сведения об атаках. Это хороший способ применять эти знания внутри сетевой инфраструктуры.
3. Интеграция в высоконагруженные системы и системы управления. Смотрим балансировку нагрузки между устройствами. Система управления правилами.

Павел Коростелев добавил, что благодаря глубокому сотрудничеству с российскими вендорами появляется возможность использовать сервисы «Континента» и развёртывать их между двумя виртуальными машинами. Это необходимо, поскольку приказ ФСТЭК России № 117 содержит требования по микросегментации, а также по обязательному обнаружению вторжений между сегментами.

Без тесного взаимодействия с вендорами в области виртуализации решить эту задачу невозможно. В перспективе компания планирует развивать взаимодействие с контейнерными средами и облачными платформами.

«КиберАльянс» — это совокупность вендоров, которые объединяют свои компетенции, позволяя заказчикам готовиться к будущему своей инфраструктуры.

Автоматизация и API

Павел Коростелев рассказал, что в компании сформирован набор готовых инструментов, поскольку последние четыре года основной задачей является переход с иностранных межсетевых экранов.

В их число входит импорт индикаторов компрометации, так как центр мониторинга безопасности (Security Operations Center, SOC) в процессе своей работы генерирует определённый объём знаний. Также предусмотрен экспорт конфигураций в сторонние системы — для проверки того, насколько корректно выполнена настройка, нет ли избыточных правил и существует ли возможность оптимизации. Кроме того, реализована возможность установки политики по расписанию: накапливается определённое количество изменений, после чего они ожидают технологического окна для применения.

 

Рисунок 3. Автоматизация и API

 

Кроме того, Павел Коростелев отметил наличие готовых инструментов для миграции со сторонних межсетевых экранов. Он упомянул отдельный доклад, в котором инженер рассказывал о проекте по замене решений Palo Alto на «Континент» и о решении связанных с этим проблем. При этом он подчеркнул, что у разных вендоров отличаются базы приложений, поэтому в большинстве случаев автоматизированно перенести приложения не получится.

Удалённый доступ

Дмитрий Лебедев напомнил о требованиях регулятора в рамках Приказа №117 от ФСТЭК для защиты государственных информационных систем (ГИС), определяющих, каким должен быть защищённый удалённый доступ. В первую очередь требуется реализовать защиту каналов связи, а именно VPN, средства криптографической защиты информации (СКЗИ) и сертификацию.

Предусмотрена аутентификация трёх видов — простая, строгая и усиленная — для разных категорий пользователей. Также имеются требования к Geo IP: серверы доступа, принимающие подключения от удалённых пользователей, должны разрешать подключения только с территории Российской Федерации (в случае с ГИС).

Кроме того, регулятор требует контроля конфигурации информационных активов (компьютеров, ноутбуков), что распространяется и на удалённых сотрудников, включая их личные рабочие станции. Сами рабочие станции должны быть оснащены дополнительными средствами безопасности.

Эти требования реализованы в решении «Континент». Поддерживаются операционные системы Windows, Linux, Android, macOS, Aurora, а также платформы интернета вещей. Что касается аутентификации удалённых пользователей, то поддерживаются все типы аутентификации и различные каталоги пользователей.

 

Дмитрий Лебедев, ведущий эксперт, «Код Безопасности»

 

Дмитрий Лебедев также затронул вопрос управления соединениями удалённых пользователей, а именно возможность распределять потоки трафика, определять, к каким ресурсам они могут подключаться и с какими ограничениями. Для этого в решении используется три режима: стандартный режим без ограничений, запрет незащищённых соединений и перенаправление всех соединений через VPN-туннель.

Кроме того, он отметил, что в NGFW «Континент 4» реализован комплаенс-контроль — проверка рабочих станций на соответствие политикам безопасности.

Во втором опросе зрители поделились, интеграции с какими продуктовыми категориями им интересны в рамках NGFW (мультивыбор):

• Многофакторная аутентификация — 72 %.
• Проверка соответствия пользователей политике ИБ (комплаенс-контроль) — 72 %.
• SIEM — 67 %.
• Балансировщики нагрузки — 56 %.
• Анализ правил МСЭ — 43 %.
• Песочницы — 38 %.
• Фиды Threat Intelligence — 38 %.

 

Рисунок 4. Интеграции с какими продуктовыми категориями вам интересны в рамках NGFW?

 

Масштабирование NGFW

Дмитрий Лебедев пояснил, что существует два варианта масштабирования — горизонтальное и вертикальное. Вертикальное масштабирование возможно только для виртуальных межсетевых экранов. Остаётся вариант горизонтального масштабирования, которое обычно ассоциируется с кластеризацией в режиме Active/Active, однако у такого подхода имеется много ограничений.

 

Рисунок 5. Балансировка нагрузки

 

Дмитрий Лебедев рассказал, что в компании пошли по третьему варианту — использованию внешнего балансировщика. По своей структуре такой подход близок к кластеру Active/Active, однако всю балансировку осуществляет внешнее устройство. К преимуществам он отнёс объединение достоинств обоих типов кластеров и наличие множества вариантов с точки зрения универсальности использования.

Среди недостатков он выделил появление дополнительной точки отказа, а также то, что не все сессии могут синхронизироваться. В качестве решения компания выработала интеграцию с компанией «Цифровые решения», используя их брокеры DS Integrity и балансировщики DS Proxima.

Денис Батранков выразил сомнение в необходимости режима Active/Active в NGFW. По его мнению, такой режим чаще всего запрашивают новички, которые ещё не работали с подобными решениями и не имеют соответствующего опыта.

Касательно режима Active/Passive он пояснил, что кластер нужен для того, чтобы иметь устройство, которое постоянно запоминает и собирает информацию о состоянии первого. Он назвал мифом представление о том, что второе устройство простаивает. На самом деле оно активно получает информацию с первого: какие соединения установлены, какой трафик проходит и так далее.

 

Денис Батранков, основатель «Академии ИБ и ИИ»

 

Динамическая маршрутизация

Кира Малухина отметила, что на текущий момент FRR обладает большей функциональностью, поддерживает больше протоколов и позволяет закрыть наибольшее количество сценариев. При использовании «Континента 4» в качестве сетевого оборудования в компании применяется BIRD, и в настоящее время он проигрывает во многих сценариях.

Она объяснила, почему используется BIRD, а не FRR: «Континент 4» развивается уже более десяти лет, и на тот момент, когда выбирался вариант динамической маршрутизации, BIRD показывал себя с более выгодной стороны. Позже FRR стал обгонять его по сценариям и функциональности.

 

Рисунок 6. Динамическая маршрутизация

 

Решение может работать с несколькими каналами как при статической, так и при динамической маршрутизации. Реализован сценарий Multi-WAN, который учитывает состояние каналов связи, статическую маршрутизацию и политики PBR (Policy-Based Routing). Прописываются политики, определяющие, через какой канал направлять тот или иной трафик, а также выбирается режим — резервирование либо балансировка между каналами. При этом обязательно мониторится состояние каналов.

 

Рисунок 7. Multi-WAN и PBR

 

Шейпинг является составной частью приоритизации трафика. Главная задача качества обслуживания (Quality of Service, QoS) — это гарантированная доставка приоритетного (критичного) трафика. Шейпинг же позволяет просто контролировать скорость потока трафика. В «Континенте» отдельно настроить шейпинг нельзя, однако на практике такая задача возникает часто, и заказчики регулярно о ней спрашивают.

 

Рисунок 8. Приоритизация и шейпинг трафика

 

Jumbo Frames нужны, если есть ЦОД. Если все участки поддерживают Jumbo Frames, увеличивается пропускная способность адаптеров.

 

Рисунок 9. Jumbo Frames

 

Развитие применения NGFW

Николай Буянов рассказал, как выстраивается сетевая безопасность в современных реалиях. Раньше использовалась классическая схема, когда всё находилось внутри периметра. NGFW, установленный на периметре, обеспечивал безопасность, контролировал вход и выход, защищая взаимодействие с внешним миром. Однако через несколько лет пришло понимание, что доверять внутренней сети невозможно. Кроме того, к числу проблем относятся невозможность гибкого масштабирования и ограниченная производительность NGFW.

Современная схема гораздо сложнее. Начиная с 2020 года чёткого периметра в инфраструктуре крупных компаний больше не существует. Инфраструктура представляет собой набор ограниченных сегментов, которые так или иначе связаны с внешними зонами. Большая часть сотрудников работает на удалённых компьютерах, находящихся в разных местах. В таких условиях возникает потребность в межзонном NGFW.

 

Николай Буянов, руководитель отдела инфраструктурной безопасности, Т-Банк

 

Николай Буянов отметил, что, согласно практике крупных зарубежных компаний, в какой-то момент NGFW как бы растворяется в инфраструктуре. Сейчас пользовательские сегменты сети постепенно приходят к модели Zero Trust. Технология ZTNA даёт понимание того, где, когда и как сотрудник подключается и к каким ресурсам он обращается.

Он добавил, что сеть становится всё более сегментированной и распределённой, появляются отдельные решения для пользовательского трафика, удалённых персональных компьютеров (ПК) и публикации сервисов. Тем не менее NGFW сохраняется в качестве ключевых точек защиты на тех участках периметра, где он действительно показывает высокую эффективность.

В третьем опросе выяснилось, что зрителей не устраивает в текущем NGFW (мультивыбор):

• Интеграции со сторонними системами — 69 %.
• Производительность — 57 %.
• Простота администрирования — 53 %.
• Стабильность — 42 %.
• Качество защиты от атак — 41 %.
• Функциональность — 32 %.
• Всё устраивает — 16 %.
• Другое — 8 %.

 

Рисунок 10. Что вас не устраивает в текущем NGFW?

 

Проблемы перехода с иностранных решений на отечественные

Сергей Алешинский рассказал, с чем столкнулась его организация при определении подходов к выбору межсетевых экранов. Для начала необходимо было сформировать список потребностей и понять, какими качествами должен обладать файрвол, который планируется интегрировать в инфраструктуру.

На основе внутренних проверок и отчётов был составлен перечень требований из 81 пункта, которые вошли в методики определения применимости (ПМИ). В рамках этих методик оценивалась пригодность платформ для решения конкретных внутренних задач организации.

Было определено четыре главных критерия выбора файрвола: пропускная способность, производительность системы предотвращения вторжений (Intrusion Prevention System, IPS), сессионная ёмкость и нагрузка в пакетах в секунду (Packets Per Second, PPS).

В 2026 году организация приступила к анализу и тестированию отечественного рынка. Первое, что бросается в глаза, — отсутствие корреляции между заявленными производителями показателями и реальными результатами, полученными на существующей инфраструктуре.

 

Сергей Алешинский, начальник управления безопасности инфраструктуры Департамента координации защиты информации, Банк ПСБ

 

Сергей Алешинский подчеркнул, что на данный момент в организации пришли к пониманию: вендор-лок не может применяться в условиях текущего рынка и развития технологий. У каждого решения, которое приходит на смену западным аналогам, есть свои сильные и слабые стороны.

Исходя из этого возникает эшелонированная защита. Межсетевой экран как средство защиты информации, представленный продуктами различных вендоров, выстраивает эшелоны защиты организации — от границы сети до уровня доступа пользователей.

Планы развития «Континент 4»

Павел Коростелев сообщил, что «Континент 4» является текущим флагманским продуктом компании, который будет активно развиваться. Планируется наращивать функциональность, производительность и количество поддерживаемых устройств. Также предстоит работа по интеграции в сетевую инфраструктуру и замене FRR. Кроме того, изменится процесс разработки, что позволит ускорить вывод новых функций на рынок.

Есть несколько больших направлений развития:

1. Сделать универсальный файрвол — единую систему централизованного управления всеми файрволами в контексте единой политики фильтрации трафика и единой базы сетевых объектов.
2. Контекст со стороны хоста. Помимо простого управления нужно понимать, насколько хост соответствует политике безопасности. Это важно и для удалённых, и для локальных пользователей. Учёт рейтинга доверия при управлении доступом.
3. Карантинные маршруты для удалённых пользователей. Если не получилось подключиться, пользователь перенаправляется в соответствующий сегмент, где он сможет обновить свой компьютер или что-то сделать с помощью централизованной настройки.
4. Расширенный мониторинг.
5. Новая платформа, блейд-архитектура.

Финальный опрос показал, какие темы зрителям интересны (мультивыбор): защита удалённого доступа — 67 %, распределённый NGFW для защиты виртуализации — 58 %, расширенная защита конечных точек (Endpoint Detection and Response, EDR + Zero Trust Network, ZTN) — 52 %, высокая пропускная способность МСЭ и NGFW — 41 %.

 

Рисунок 11. Какие темы вам интересны?

 

Выводы

Зрелый межсетевой экран нового поколения более не может рассматриваться как устройство, функционирующее исключительно на периметре корпоративной сети. Сегодня он обязан обеспечивать эффективную защиту в трёх принципиально различных сценариях: на внешнем периметре, в территориально распределённых сегментах и внутри центров обработки данных. Каждый из этих сценариев предъявляет собственные требования — от глубокой веб-фильтрации до высокой пропускной способности и минимальных задержек.

Даже самый совершенный NGFW не сможет обеспечить заявленный уровень доступности и защищённости, если в организации отсутствует своевременная инвентаризация активов, не согласованы изменения между сетевиками и безопасниками, а вероятность ошибки настройки остаётся возможной. Ключевые проблемы сегодня лежат не в продукте, а в системно недосмотренных критериях эксплуатации.

Рыночная ситуация перехода с зарубежных решений на отечественные обнажила серьёзный разрыв между заявленными и реальными показателями производительности. Ни один вендор сегодня не может рассматриваться как безальтернативный, а эшелонированная защита с использованием решений разных производителей становится единственным прагматичным подходом.

Приоритетом для разработчиков остаётся глубокая интеграция со смежными системами — SIEM, песочницами, средствами многофакторной аутентификации и комплаенс-контроля, поскольку автономный файрвол в современной экосистеме крупного заказчика уже нежизнеспособен.

Путь к зрелому NGFW лежит через баланс жёстких регуляторных требований, бескомпромиссного качества защиты и готовности самого заказчика выстраивать зрелые процессы эксплуатации. Технологии в сетевой безопасности развиваются не изолированно, а в тесной связке с компетенциями вендоров, операционной надёжностью и способностью инфраструктуры адаптироваться к постоянно меняющемуся ландшафту угроз.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!