Без NGFW: как заменить высокопроизводительные межсетевые экраны ушедших вендоров

Даём обзор ситуации на российском рынке сетевой безопасности по состоянию на 2023 год, рассматриваем три стратегии замены западных продуктов, включая межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), в отсутствие полноценной альтернативы от российских разработчиков. Для каждой стратегии приводятся оценка её применимости и возможные сценарии использования.

1. Введение
2. Стратегии построения сетевой защиты
3. Чем дополнить SWG
4. Что взять за основу
5. Зачем собирать связку из разных продуктов
6. Недостатки подхода
7. Выводы

Введение

До 2022 года львиную долю рынка сетевой безопасности в России занимали иностранные игроки. При этом в топе были те же компании, что и на мировом рынке: Check Point, Cisco, Palo Alto, Fortinet. Вместе они заняли фактически весь сегмент высокопроизводительных и полнофункциональных межсетевых экранов нового поколения (NGFW). Промышленность, крупный бизнес и даже госучреждения в большинстве своём работали на зарубежных продуктах, отлично адаптированных под высокую нагрузку и использование в больших сетях. Уделом российских разработчиков стали сегмент малого и среднего бизнеса, а также специализированные нишевые продукты — не такие функционально богатые и удобные, как западные решения, но с полным комплектом сертификатов.

Этот статус-кво как будто устраивал всех. Иностранные вендоры получали хорошую выручку, поставляя свои продукты в самые маржинальные сегменты, и хотя эти разработки не были идеальными, высокие требования по производительности и функциональности сразу отсекали большую часть отечественных конкурентов. В свою очередь, российские разработчики нашли своих потребителей в младших сегментах рынка и заняли там сильные позиции благодаря лучшей адаптации под локальных заказчиков и их задачи.

Отдельная категория потребителей была ориентирована на сертифицированные продукты. Уже по смыслу понятно, что в этом сегменте возможности продуктов опирались в большей степени на положения нормативных документов, нежели на актуальные и перспективные угрозы информационной безопасности. Поэтому по функциональности они часто уступали и сильным зарубежным конкурентам, и даже российским решениям для СМБ, которые создавались без нацеленности на сертификацию.

Новые вызовы 2022 года перевернули положение на рынке сетевой безопасности. Скоропостижный уход ряда сильнейших западных вендоров и подорванное реноме оставшихся (ведь теперь сложилось понимание того, что фактически любой зарубежный партнёр может быстро свернуть деятельность в стране и оставить потребителей наедине с их проблемами) породили активные изменения.

Прежде всего, российские вендоры ощутили кратный рост спроса. Естественно, продукты ушедших производителей нуждались в замене — если не мгновенно, то в ближайшей перспективе. Однако недостатки российских разработок никуда не делись, и попытки «натянуть» продукт, который неплохо работает с условной тысячей пользователей, на сеть в 10–20 тысяч (и более) не всегда были успешными.

Масштабирование на крупный бизнес оказалось нетривиальной задачей. Дело здесь не только в потребности в более мощном оборудовании, хотя и это стало проблемой: не во всех линейках представлены высокопроизводительные решения. Попытки использовать несколько младших устройств вместо одного мощного и тем более работать в действительно крупных сетях с десятками тысяч пользователей и высокой пропускной способностью столкнулись с проблемами распределения нагрузки и эффективного управления ею. Сделать хороший балансировщик может быть даже труднее, чем производительный программно-аппаратный комплекс.

Увидев отличную рыночную возможность, активизировались вендоры из других сегментов. Весной стало известно о планах сразу нескольких крупных российских игроков начать разработку продуктов по сетевой безопасности. Можно рассчитывать, что их опыт на рынке информационной безопасности поможет сделать продукты, которые в перспективе смогут заменить лучшие мировые. Однако не следует ожидать быстрого их вывода на рынок. Процесс разработки корпоративных продуктов, тем более в такой ответственной сфере, как кибербезопасность, а также последующей их доводки может растянуться на несколько лет. При этом вряд ли серьёзные заказчики захотят стать испытательным полигоном для новых разработок.

Стратегии построения сетевой защиты

Как отмечалось выше, ситуация сложилась в пользу российских игроков, которые уже поставляли свои разработки в области сетевой безопасности. Их бизнес получит поддержку от существенного роста выручки в 2022 году. Однако экономический эффект будет ограниченным. Российским игрокам удалось заместить младшие модели конкурентов и, возможно, продвинуться из СМБ в область чуть более крупных заказчиков, но дальнейшая экспансия в сегмент высокопроизводительных решений будет невозможна без существенного повышения потребительских характеристик продуктов. При этом процесс совершенствования может быть затруднён, с учётом концепций, которые закладывались ещё в начале проектирования, и истории разработки. Не все продукты имеют резервы для кратного повышения производительности и масштабирования на крупнейшие российские организации. Может оказаться, что проще сделать новый продукт с нуля, чем развивать существующие версии.

Таким образом, снова возвращаемся к проблеме времени: в ближайшей перспективе не будет полноценной замены мировым лидерам в сегменте NGFW. Какие здесь могут быть стратегии?

1. Продержаться на имеющихся продуктах до появления полноценной замены NGFW. Вполне себе вариант, однако продержаться несколько лет может быть трудно. Оборудование выходит из строя и требует замены, бизнес и потребности организаций растут, нужны апгрейды и просто новые продукты для расширения сети. Ещё одна проблема — поддержка. В отсутствие поддержки со стороны разработчика снижение эффективности решений практически гарантировано.
2. Переход на российские продукты с меньшей производительностью (не столько NGFW, сколько универсальный узел безопасности, UTM). Теоретически это возможно, но на практике будет крайне болезненно для организаций и обременительно для специалистов, которым придётся всё это внедрять и настраивать, а затем ещё и обслуживать. Возможно, придётся дробить корпоративные сети на меньшие сегменты, чтобы вручную развести нагрузку по менее производительным шлюзам. Несомненно, вырастут расходы на персонал, потребуется больше людей, в т. ч. и высокой квалификации, количество отказов и сбоев также возрастёт.
3. Построить систему корпоративной киберзащиты на базе решений других классов. Помимо NGFW и UTM есть родственные им шлюзы сетевой безопасности (SWG), являющиеся развитием классических прокси-серверов. Не столь богатые функционально, они тем не менее обладают рядом преимуществ. Их основная задача — контроль доступа в интернет и предотвращение попадания нежелательного трафика в корпоративную сеть. Набор дополнительных возможностей по безопасности не является строго регламентированным и меняется от разработчика к разработчику. SWG могут осуществлять URL-фильтрацию или включать в себя модули обнаружения вторжений (IDS), т. е. даже автономно являются вполне серьёзными средствами сетевой безопасности. Ещё лучше использовать SWG как основу и нарастить функциональность за счёт продуктов других классов.

Чем дополнить SWG

Набор дополнительных продуктов / сервисов может быть различным. В то же время это не тот случай, когда чем больше, тем лучше. Дополнительные инструменты безопасности — это всегда лишние ресурсы: на внедрение, настройку, эксплуатацию. Поэтому избыточность здесь не нужна. В общем случае SWG может дополняться с помощью решений следующих классов.

1. Антивирус. Скорее всего, в организации уже используется какой-то антивирус — хорошо, если не только на конечных точках, но и на шлюзе и почтовом сервере для предварительной проверки трафика, с тем чтобы до рабочих мест доходил минимум угроз. Кроме того, эшелонированная защита может строиться на продуктах разных вендоров, что целесообразно с точки зрения сокращения рисков. У нас в стране не так много разработчиков антивирусов, поэтому выбор не должен быть мучительным.
2. Криптошлюз для защиты трафика посредством шифрования. Криптошлюзы позволяют обеспечить конфиденциальность и целостность сетевых пакетов, а также безопасный доступ пользователей к сетевым ресурсам. В России немало разработчиков, которые предлагают готовые криптошлюзы в программном или программно-аппаратном исполнении — например, «С-Терра».
3. Брандмауэр веб-приложений (WAF) — продукт не обязательный для всех заказчиков, но востребованный. В России уже есть такие разработки очень приличного уровня — например, PT AF от Positive Technologies, входивший в «магический квадрант» Gartner. WAF-системы могут включать в себя различные возможности и модули, например по виртуальному патчингу, поиску уязвимостей или защите от DDoS; последние могут быть и самостоятельными продуктами.
4. Защита от DDoS. Реализовывается по-разному, для конечного заказчика это может быть не только продукт, но и сервис. Выбор варианта исполнения остаётся на усмотрение потребителя. В ряде случаев технически проще оформить недорогую подписку на сервис, и всё больше компаний предпочитают именно такой вариант. Что касается имён вендоров, тут выбор вполне широк. В качестве примера можно привести Qrator.
5. Системы обнаружения вторжений (IDS / IPS), которые защищают корпоративные ресурсы от несанкционированного доступа, выявляют аномальную и потенциально опасную активность в сети. В России несколько известных продуктов такого рода. Они различаются архитектурой и возможностями, но в целом обеспечивают высокий уровень детектирования угроз. В качестве примера можно привести решения НПО «Эшелон».

Что взять за основу

В качестве основы для построения системы сетевой безопасности можно взять шлюз Zecurion SWG. Разработчик больше известен своей системой предотвращения утечек (DLP), названной аналитиками Gartner, IDC, Forrester одной из лучших в мире. Однако продукты Zecurion получили признание и в других сегментах — в частности, в области шифрования (с этого начиналась продуктовая линейка компании), контроля доступа, в т. ч. привилегированного (PAM), и сетевой безопасности.

Шлюз Zecurion SWG разрабатывался с 2014 года и используется рядом крупнейших российских компаний в объёмах свыше 100 тыс. пользователей на одну инсталляцию. Это свидетельствует о высокой пропускной способности и работоспособности в любых сегментах, включая самые крупные (large enterprise).

Совместно с другими продуктами компании может быть выстроена целостная экосистема защиты корпоративной информации как от внешних угроз, так и от внутренних.

Зачем собирать связку из разных продуктов

Предложенный подход к замене NGFW сбалансированным комплексом продуктов других классов имеет ряд преимуществ и может быть реализован не только «от безысходности», но для достижения лучшего результата. Основа такой системы — SWG — высокопроизводительный продукт. Уже это является весомым аргументом в его пользу, особенно для крупных организаций, которые сталкиваются с недостатком пропускной способности современных средств сетевой безопасности.

Функционально SWG уступает NGFW, но, как показывает практика эксплуатации, часть опций NGFW на деле не используется. Это даёт резерв для наращивания спектра возможностей до оптимального в соответствии с потребностями конкретного заказчика.

Выбор конкретных инструментов может быть не только более правильным, но и выгодным: потребитель оплачивает только те продукты или возможности, которые ему реально нужны, а не всё пакетное предложение NGFW, включая и избыточные элементы.

Наконец, использование нескольких продуктов позволяет построить эшелонированную защиту от разных производителей. Это может быть внутренним требованием организации, рекомендацией отраслевых стандартов или лучших практик.

Связка SWG с другими классами систем сетевой безопасности может быть не только временным решением на горизонте трёх-четырёх лет (до появления удовлетворяющих высоким требованиям российских продуктов), но и эффективным долгосрочным проектом.

Недостатки подхода

Говоря о построении комплексной системы защиты от сетевых угроз, нельзя не упомянуть возможные недостатки. Не факт, что они будут ярко проявляться на практике, но некоторые моменты стоит учесть.

Несмотря на то что недостатки упоминаются во множественном числе, все они производны от трудностей построения целостной системы из разнородных продуктов и последующей их совместной эксплуатации. Солидарная настройка и корректировка политик, мониторинг угроз и подготовка отчётов, проведение расследований — возможные зоны работы в этом направлении. То, насколько успешным получится решение, зависит от выбора конкретных продуктов, их совместимости, опыта офицеров безопасности.

Не стоит переоценивать трудности. Потребители успешно эксплуатируют продукты, а ведущие разработчики проверяют совместимость последних с другими средствами информационной безопасности и работают над отраслевыми решениями.

Выводы

Нетривиальная задача по замене NGFW, которая стоит передо многими организациями, может быть успешно решена с использованием других классов продуктов. В основу можно положить высокопроизводительный шлюз сетевой безопасности (SWG), расширив его функциональность IPS, антивирусом, WAF, криптошлюзом и другими элементами.

Самое главное — этот подход не предполагает необходимости искать компромиссы в плане производительности, которая является одной из основных проблем российских продуктов, представленных на рынке в сегменте NGFW. Другие преимущества — возможность отказаться от лишней функциональности и выстроить эшелонированную защиту от различных сетевых угроз с применением продуктов разных вендоров.

Некоторые неудобства подобного подхода в плане запуска и эксплуатации системы могут окупиться экономией денег. Кроме того, сам по себе опыт создания и использования такой системы будет интересным с профессиональной точки зрения проектом и расширит компетенции реализовавшего его сотрудника, а организации даст эффективный инструмент борьбы с современными угрозами.