Оглавление
Спрос на отечественные NGFW существенно превышает предложение, но цена ошибки при выборе нового решения высока – выйти из строя может вся ИТ-инфраструктура. Компания “Инфосистемы Джет”, получив за два года импортозамещения опыт из более шестидесяти реализованных внедрений NGFW, организовала лабораторию для тестирования этого класса устройств.
Автор: Роман Асаев, руководитель группы сетевой безопасности центра информационной безопасности “Инфосистемы Джет”
В лаборатории компании «Инфосистемы Джет» проводится независимое функциональное и нагрузочное исследования современных решений класса NGFW, представленных на российском рынке. Его цель – создание максимально полного и объективного представления о функциональных возможностях данных систем. Используя единую методологию, мы оцениваем работу тестируемых устройств в условиях, максимально приближенных к реальным эксплуатационным сценариям.
На текущий момент в лаборатории завершено тестирование девяти решений, в том числе:
Check Point R81.20,
Ideco NGFW v16,
InfoWatch ARMA Стена (NGFW),
UserGate 7.1.0 RC,
ViPNet Coordinator HW5 5.3,
Континент 4.1.7 и 4.1.9,
PT NGFW от Positive Technologies.
В результате функционального тестирования мы выяснили, что российские NGFW-решения показывают приближенные к эталонным значениям для функций централизованного управления и отчетности. Другими словами, большинство отечественных разработчиков используют для своих NGFW централизацию управления и активно развивают ее.
Производители усиливают сетевые функции, такие как поддержка протоколов динамической маршрутизации и виртуальные роутеры в самом устройстве (функционал VRF). Отдельно стоит отметить, что рынок начинает задумываться и об удобстве эксплуатационных возможностей, например о диагностике в CLI, доступе к логам ОС и наличии API в продукте.
В среднем по рынку слабее всего реализованы функции SD-WAN и Web-portal VPN, они встречаются только в наиболее зрелых решениях.
Важно отметить, что нашей задачей не являлось сравнение решений между собой, мы всегда сравниваем полученные в лаборатории «Инфосистемы Джет» данные только с характеристиками, заявленными самими вендорами. Причем на результаты испытаний влияют множество факторов: профиль трафика (в каждом тестировании он, фактически, свой), настройки NGFW (включенные модули, используемое количество сигнатур IPS и т.п.), настройки правил МСЭ (количество правил, их широта и т.д.) и пр.
В части нагрузочных тестов мы наблюдаем положительную динамику: декларируемая производительность российских NGFW становится все ближе к реальным значениям.
Результаты тестирования находятся в открытом доступе [1].
Стоит ли переходить, если это не обязательно?
Хотя импортозамещение и является для многих вынужденной мерой, из него можно извлечь ряд позитивных эффектов, которые и сами могут стать аргументами для миграции.
Переход на отечественные решения – отличная возможность для улучшения всей сетевой архитектуры. Когда меняется ядро сети и NGFW, создаются почти идеальные предпосылки для перестройки и модернизации инфраструктуры.
При этом актуализируются проектная документация и схемы, которые сопровождают процесс перехода, что делает дальнейшую эксплуатацию гораздо проще и эффективнее. Это зачастую недооцененный, но важный результат процесса миграции.
Импортозамещение происходит не только в области NGFW, но и в других аспектах, включая, например, ОС и системы виртуализации. Важно, что в этих условиях появляется возможность обеспечить взаимодействие различных отечественных продуктов в едином ландшафте с помощью опыта интеграторов и производителей элементов инфраструктуры.
Невзирая на сложности, с которыми сталкиваются заказчики при переходе на новые решения, при правильном подходе проблемы решаемы. Грамотное планирование, помощь профессионалов и использование современных решений значительно упрощают процесс миграции и повышают уровень безопасности заказчика.
Как не перетратиться?
Важно еще на этапе предварительной оценки сообщить интегратору данные о конфигурации оборудования, а также его пиковую и среднюю недельную загрузку. Это поможет оценить реальные требования к замене. Например, если зарубежная установка недозагружена даже в моменты пиковой активности, нецелесообразно переводить системы на российские аналоги с такими же номинальными мощностями.
Стоит обсудить со специалистами свои ожидания и понять, какой именно функционал вам требуется заменить. Если текущий NGFW поддерживает большее количество функций, чем фактически вам необходимо, то ослабление требований в техническом задании на поиск позволит легче найти оптимальное решение.
ITSec_articles