Александр Баринов: Успех разработки продукта зависит от профессионализма команды

Тема NGFW становится всё более актуальной, в том числе на рынке ИТ. Тенденции указывают на появление новых игроков и рост конкуренции. Видением ситуации в пространстве ИБ с нами поделился Александр Баринов, директор портфеля продуктов сетевой безопасности ГК «Солар».

В апреле текущего года вы представили Solar NGFW. Для многих это событие стало неожиданностью, в том числе и для меня. Почему вы решили идти на этот насыщенный рынок? Какие перспективы развития вы видите?

А. Б.: Историю с NGFW мы задумали в начале 2021 года или, может быть, чуть раньше. Вынесли её на рассмотрение продуктово-инвестиционного комитета «Солара» по причинам интересности рынка и востребованности этого продукта. Дальше случились известные события в феврале и последующий уход зарубежных вендоров, которые придали ускорение всей этой истории.

Мы увидели, что с уходом иностранцев освободилась целая ниша энтерпрайза. Ранее на рынке было трудно конкурировать из-за присутствия крупных зарубежных игроков. Увидев эту большую освободившуюся нишу, мы увлеклись. Это первая история.

Параллельно и независимо у нашего продукта Solar webProxy появился простой межсетевой экран. Когда мы представили его во ФСТЭК России на сертификацию, там попросили: покажите, как ваш межсетевой экран работает. Нам «пришлось» его дорабатывать, интегрировать и погружать в webProxy.

Дальше эти ветки начали пересекаться, одна стала ускорять другую.

Меня, конечно, впечатлили сроки: за полтора года вы разработали продукт, который работает и имеет всю необходимую функциональность. Как это стало возможным?

А. Б.: Скорость разработки зависит от скорости формирования и развития команды.

Все технологические сложности разработки продукта зависят от сбора хорошей, сильной, профессиональной команды, которая способна двигаться синхронно на протяжении нескольких лет. Такую команду мы собрали и всячески её холим и лелеем.

Одно дело — разработать межсетевой экран, другое — наполнить его экспертизой. У вас, должно быть, этим занимаются целые отделы. Как всё это устроено?

А. Б.: Нужно не только сделать продукт — программное и аппаратное решение, — но и наполнить его контентом и аналитикой. Даже если есть продукт, который не падает под хорошими нагрузками и обладает какой-нибудь функциональностью, это будет всё ещё «тупая железка», которую нужно загрузить определённым контентом. Мы, имея у себя на борту большой коммерческий центр мониторинга (SOC), как никто другой на рынке понимали эту необходимость. У нас в состав сервисов JSOC входят эксплуатация и предоставление российских и зарубежных файрволов по сервисной модели, и эта экспертиза, добавленная надстройка — конёк нашего SOC. 

Вы сказали, что ваш NGFW развился из прокси-сервера. Что из других компонентов было туда добавлено, чтобы добиться текущей конфигурации?

А. Б.: Если перечислять по шагам появления функциональности, то порядок был таким: межсетевой экран, трансляция адресов (NAT), контроль приложений, предотвращение вторжений (IPS), SSL-инспекция. Далее в нашей дорожной карте появляется VPN. В прокси-сервере у нас — глубокая инспекция пакетов (DPI), прозрачный реверс, категоризация, контент-фильтрация.

Антивирус тоже входит в этот список, верно?

А. Б.: Да, антивирус у нас есть. В прокси-сервере он активно используется по протоколу ICAP. Антивирус в комбайне NGFW мы будем переделывать в полноценный потоковый.

Многие гадали после вашего релиза, какой продукт вы взяли за основу. Сейчас вы сказали, что всё своё. Но также были вопросы по поводу использования открытого кода.

А. Б.: Мы не скрываем, что у нас в основе NGFW лежит Open Source глубокой переработки: Iptables, nDPI. В качестве IPS используется Suricata, которую за два года мы сильно доработали.

Если говорить про Open Source в целом, то рынок обычно пугает вероятность недокументированных возможностей и брешей, о которых узнают уже в процессе эксплуатации. Мы воспользовались средствами безопасной разработки и привлекли нашу команду пентестеров.

Open Source — это продукт международной кооперации. Нет ли здесь какой-то зависимости от международного сообщества? Можно ли сейчас назвать ваше решение импортонезависимым?

А. Б.: Правильнее сказать, что мы сделали ответвление от Open Source и развиваем свою ветку. Это не значит, что при появлении каких-то мажорных изменений в той же Suricata мы не изучим их и не перейдём на следующую версию. Но я бы сказал, что мы сейчас движемся вполне автономно и влияние сообщества поддаётся контролю.

Вы вышли на рынок в числе первых. Если судить по первым полугодовым результатам, правильным ли был этот шаг?

А. Б.: Руководствуясь личным опытом разработки и опытом команды, мы решили быстрее пойти к заказчикам и начать с тех, которые готовы с нами поэкспериментировать. Таких заказчиков оказалось вполне много, они восприняли это с хорошим энтузиазмом. Оглядываясь назад, лично я не жалею, что мы начали пораньше. Вовлекая заказчиков в конкретные проекты и «пилоты», мы оттачиваем мастерство.

У вас есть большое преимущество в виде внутреннего заказчика — материнской компании «Ростелеком». Что сейчас говорят первые тесты и первый опыт, в том числе внутренние?

А. Б.: Здесь я хочу сказать «Ростелекому» спасибо во всех смыслах. Мы завершили первое хорошее тестирование в их лаборатории. В компании почти 100 000 сотрудников, более 200 «дочек», и это — отличный полигон для работы.

Мы всячески развиваем сотрудничество и совместные эксперименты с «Ростелекомом»: начали с тестов, а далее попробуем продолжать в «боевых» внедрениях.

Внутри ГК «Солар» сам продукт уже используется для вашей сервисной платформы?

А. Б.: По сравнению с «Ростелекомом», «Солар» — не очень большая организация, не сильно нагруженная трафиком и не очень требовательная к функциональности. Но при этом мы у себя внутри развернули продукт сначала в тестовой зоне, а сейчас уже есть промышленное внедрение. Реальные пользователи сидят в сегменте, который контролируется нашим NGFW. Сейчас мы планируем приступить к развёртыванию продукта на весь «Солар».

На какие цифры вы ориентировались, разрабатывая продукт, и какая производительность, с вашей точки зрения, должна у него быть?

А. Б.: Начну немного издалека. Мы как вендор софта решили сделать сначала программное решение. Для него есть ограничения на уровне «физики», и мы максимально к этим ограничениям приблизились: простой межсетевой экран — в районе 20 гигабит в секунду, NGFW со всеми включёнными функциями — в районе 4 гигабит в секунду на классическом «железе» (условно — двухъядерный Xeon Gold с 20–30 ядрами на каждый процессор). Протестировали это в лаборатории «Ростелекома». Дальше у нас в планах — сделать более производительный программно-аппаратный комплекс, достигнуть скорости под 40 гигабит в секунду. Примерно к концу 2024 года планируем полноценный ПАК и скорости около 100 гигабит в секунду.

Здесь надо будет работать с аппаратным ускорением и оптимизацией, верно?

А. Б.: Да, это тот самый DPDK (набор библиотек и драйверов, ускоряющий обработку пакетов) и всё, что с этим связано. Про остальное пока умолчу. 

Что можете сказать о планах развития продукта на ближайшие шесть-восемь месяцев?

А. Б.: У нас сейчас выходит релиз 1.1. В нём появляются работа со сторонними сигнатурами IPS и автоматизация такой работы, в том числе с сигнатурами центра исследований киберугроз Solar 4RAYS, а также полноценный отказоустойчивый кластер «актив — пассив». 

В первом квартале 2024 года мы выпускаем первую версию функциональности централизованного управления. Также в начале следующего года у нас будет большое обновление интерфейса. Мы запустили серию UI/UX-исследований вместе с нашими заказчиками, и у нас собралась хорошая, профессиональная команда интерфейс-строителей. 

Также в первом квартале 2024 года появится прототип ПАК на 40 гигабит, о котором я говорил ранее. С ним мы пойдём экспериментировать в «Ростелеком» и к клиентам, которые готовы его протестировать. Ближе к сентябрю следующего года этот прототип превратится в коммерческий ПАК.

Насколько я помню, вы говорили, что рассматриваете архитектуру x86 и будете её придерживаться, а также упоминали о том, что это будет отечественная аппаратная платформа.

А. Б.: Мы сейчас в партнёрстве делаем первый прототип этой «железки». Также ведём взаимодействие ещё с несколькими российскими игроками. В разработке конструкторской документации, в разработке наших подходов мы планируем пойти чуть дальше и к середине следующего года проработать свой собственный кастомизированный ПАК при поддержке производителя.

Хотел обсудить с вами модную тему «файрвол как услуга» (Firewall-as-a-Service) и модификацию межсетевых экранов для контейнерных сред. Вы движетесь в этих направлениях? Если да, то когда можно будет ожидать первых релизов?

А. Б.: В «Соларе» существует целая платформа, где на выбор есть несколько продуктов по модели «файрвол как сервис» от разных вендоров.

Solar NGFW там уже есть?

А. Б.: Solar NGFW там пока нет. Мы планируем туда попасть в первом-втором квартале 2024 года. Платформа работает. Но отчасти сервисный подход ограничен привычкой наших крупных организаций держать у себя в периметре всё, что касается кибербезопасности. Учитывая наш предыдущий опыт и понимая, как и с какой скоростью рынок развивается в этом сегменте, мы в определённый момент в эту игру, конечно же, сыграем.

В эфире AM Live вы очень амбициозно отметили, что целевой сегмент для Solar NGFW — это топ-700 российских компаний, то есть крупный бизнес. Почему смотрите именно на этот сегмент (в абсолютных цифрах — не очень массовый), а не на средний бизнес, где в сумме, возможно, получилось бы больше денег?

А. Б.: Я бы не хотел обидеть малые и средние предприятия, но спрос на кибербезопасность там существенно меньше. Крупные компании — уже достаточно зрелые, с большой историей, они десятилетиями выстраивали свои ландшафты кибербезопасности, и, по крайней мере, «евангелизации» там не требуется.

Да, но там и требований гораздо больше. Все они уже попробовали зарубежные продукты.

А. Б.: Эти требования нас не пугают. Мы имеем многолетний опыт по другим продуктам.

Наше DLP-решение Solar Dozor развёрнуто в «СберБанке», и это — наш публичный демонстрационный образец. Он доказывает, что мы можем работать с высоконагруженными, требовательными и большими организациями.

Какую долю рынка должен занять Solar NGFW в перспективе ближайших двух лет, чтобы вы сочли это успехом?

А. Б.: На рынке NGFW сейчас где-то 25 компаний, а в некоторых обзорах значится и до 40. Рынок, по разным оценкам, имеет объём от 15 до 80 миллиардов рублей. Я в нашем эфире озвучивал оценку в 600 миллиардов рублей, но это скорее общая ёмкость (Total Available Market). Мы берём за основу среднеконсервативный прогноз в районе 20 миллиардов рублей. На горизонте трёх-четырёх лет мы планируем занять долю в 25–30 % от этой цифры.

Хороший и амбициозный план. Я желаю вам удачи в том, чтобы добиться этих заветных цифр. Будем следить за развитием вашего продукта. 

Большое спасибо за содержательное интервью. Думаю, оно будет интересно всем, кто интересуется российскими NGFW. Всего вам самого безопасного!