Юрий Дышлевой, руководитель практики PT NGFW: Наша цель — предложить решение мирового уровня

Мы продолжаем обсуждение горячих тем рынка кибербезопасности. Сегодня поговорим о насущных вопросах в области межсетевых экранов нового поколения с руководителем практики NGFW в Positive Technologies Юрием Дышлевым.

В эфире AM Live Денис Кораблёв сообщил, что главная задача Positive Technologies на рынке NGFW — реализовать свой технологический потенциал. По его словам, в вашей компании уже есть серьёзные наработки и вы знаете, как сделать отказоустойчивый и надёжный NGFW. В чём заключается основная идея? Чего не хватает существующим на рынке решениям и почему ваш продукт должен быть заметно лучше?

Ю. Д.: Мы подошли к разработке PT NGFW крайне взвешенно: провели большую работу с клиентами (custdev), поняли, чего конкретно не хватает, и сформировали для себя три главных критерия правильного межсетевого экрана нового поколения: удобство, производительность и надёжность.

Также мы собрали сильную команду. Это разработчики, специалисты экспертного центра безопасности (PT Expert Security Center), сетевые инженеры, ИБ-архитекторы Positive Technologies с большим опытом разработки высоконагруженных систем, которые способны создать именно производительный NGFW. Наконец, в Positive Technologies накоплена лучшая экспертиза по информационной безопасности на российском рынке. Мы взяли все эти слагаемые и получили крайне впечатляющие результаты уже в ранних версиях.

А в чём состоят эти результаты?

Ю. Д.: Во-первых, мы смело можем заявить (и, самое главное, доказать), что демонстрируем очень высокие показатели на различных сложных профилях трафика. Также мы презентовали на Standoff 12 наши результаты по производительности системы предотвращения вторжений (IPS): 20 гигабит со включёнными 10 000 сигнатур экспертного центра безопасности PT Expert Security Center. Это наша экспертиза и наши сигнатуры, интеллектуальная собственность, которую мы уже можем использовать в ряде продуктов.

Из вашего исследования явствует, что тесты на одном и том же оборудовании в мае показывали 40 гигабит в секунду для файрвола без IPS, а в ноябре — уже 102 гигабита. За счёт чего удалось настолько увеличить этот показатель?

Ю. Д.: Мы подошли к формированию базовой функциональности в виде собственной разработки, поместив всю обработку трафика в пользовательское пространство. Это позволило нам значительно оптимизировать скорость обработки трафика. Мы активно задействуем драйвер DPDK. Безусловно, это накладывает определённые требования на сетевые карты, которые мы можем использовать в межсетевом экране. Но при этом нет привязки к какому-то специфическому «железу».

Мы видим, что эволюция аппаратных схем западных межсетевых экранов тоже претерпевает соответствующие изменения, и понимаем, для какого рынка мы разрабатываем межсетевой экран. Мы так или иначе используем все возможные средства, чтобы решить нашу задачу быстро, качественно и эффективно.

Правильно ли я понял, что ставка на платформу х86, о которой Денис говорил в нашем эфире, по-прежнему актуальна? Вы не смотрите в сторону специализированной аппаратной платформы?

Ю. Д.: В ближайшее время мы точно не будем прорабатывать каких-либо специализированных аппаратных решений для наших задач, например ASIC или FPGA. Единственное такое решение, которое будет в составе платформы, — модули доверенной загрузки. Это нужно для того, чтобы соблюдать требования регулятора.

NGFW практически всегда воспринимают как программно-аппаратный комплекс. Хотелось бы узнать точку зрения вашей компании. Если вы не привязываетесь к конкретному «железу», то будете рекомендовать какие-то определённые конфигурации или просто отгружать заказчикам софт?

Ю. Д.: Мы не можем себе позволить отгружать заказчику только программную составляющую. Во-первых, по мнению ФСТЭК России, межсетевой экран следующего поколения — это программно-аппаратный комплекс. Во-вторых, вновь обращу внимание на исследование: большая часть российских заказчиков тоже считает, что NGFW — это ПАК. В-третьих, когда клиент хочет получить гарантии производительности, проще и легче предоставить их на протестированном оборудовании с понятными и проверенными параметрами запуска ПО. Чтобы решить все эти задачи в комплексе, мы предоставляем заказчику ПАК.

Впрочем, если клиент хочет целиком и полностью программное решение, мы готовы предоставлять виртуальный образ.

Мы поддержим самые популярные гипервизоры для России. Уже презентовали работу виртуальных контекстов, и это реализовано программно. Мы можем поддержать эту функцию даже на виртуальных сущностях. У клиента будет куда больше гибкости и возможностей использования разработки Positive Technologies для своих специфических задач.

Что вы имеете в виду, говоря о виртуальных контекстах?

Ю. Д.: Это удобный способ разделить одну большую производительную «коробку» на несколько логических сущностей, которыми будут по отдельности управлять — например, когда в большой компании существует много подразделений, чтобы получить экономический эффект, закрывая одной-единственной «коробкой» несколько однотипных задач. Мы прекрасно понимаем, что наши клиенты активно используют эту функцию в зарубежных решениях.

Смотрите ли вы в части аппаратной реализации в сторону кого-то из российских сборщиков?

Ю. Д.: На сегодняшний день мы работаем с несколькими производителями аппаратных платформ. У нас очень высокие требования в части элементной базы — рассматриваем только современные комплектующие; то же самое — и в части промышленного дизайна платформ. Наша цель — предложить решение мирового уровня в сетевом исполнении.

Хочу немного развить тему российского «железа». Многие заказчики традиционно опасаются ставить у себя аппаратное обеспечение российской сборки. Мы упомянули, что надёжность — очень важный фактор для NGFW. К «железу», очевидно, тоже должны предъявляться высокие требования. Как вы будете выстраивать отношения с потенциальным поставщиком и чего потребуете от него?

Ю. Д.: Для клиента мы будем выступать гарантией надёжности — то есть не станем заставлять ходить к производителю наших аппаратных платформ, чтобы получить сервис, гарантию, выявление неисправностей. Когда клиент получит межсетевой экран нового поколения от Positive Technologies, он будет обращаться по любым вопросам — аппаратным, программным, конфигурационным — к нам. Для этого мы создаём инфраструктуру взаимодействия с производителями, а также выстраиваем соответствующие бизнес-процессы внутри Positive Technologies.

На рынке сейчас есть доля непонимания в отношении того, когда широким массам можно будет посмотреть и протестировать ваше решение.

Ю. Д.: Если клиент готов участвовать в раннем тестировании, мы готовы предоставить ему версию для теста. Мы открыто рассказываем, что реализовано уже сейчас и какие ограничения есть в первых версиях. Сегодня у нас активно идут такие тесты среди ключевых клиентов и партнёров.

Выход первой коммерческой версии запланирован на май 2024 года.

Один из ключевых приоритетов нашей разработки — удобство интерфейса. Его внешний вид является результатом тесного взаимодействия с клиентами и изучения лучших мировых практик. Эта работа дала плоды. Сегодня, когда я презентую интерфейс PT NGFW, я получаю положительную обратную связь. На мой взгляд, это одна из небольших побед наших инженеров, которые отвечают за пользовательский опыт, что крайне важно при миграции с одной платформы на другую.

Стандартный набор функций NGFW — это межсетевой экран, IPS и антивирус. Какое антивирусное ядро вы планируете использовать?

Ю. Д.: Мы изучаем различные решения на рынке, а также рассматриваем написание собственного модуля антивирусной защиты. Такая экспертиза в Positive Technologies тоже есть. Мы получили прототипы от наших коллег по рынку, чтобы провести исследование, что и как мы встроим в конвейер (pipeline) обработки пакетов. Наш подход к вынесению обработки сетевого трафика в пользовательское пространство даёт высококачественный результат, но, с другой стороны, он требует высокого профессионализма при внедрении каких-либо сопутствующих модулей обработки трафика.

Важный для многих блок функциональности NGFW — это VPN. Вы будете делать свой VPN-клиент или возьмёте чей-то сторонний?

Ю. Д.: Обязательно в ближайшее время поделимся результатами нашей работы по части разработки VPN. Мы понимаем, что это очень востребованная функция NGFW.

Большое спасибо за информативное и ёмкое интервью! Уверен, оно поможет многим определиться с выбором продукта и миновать ошибки на этом пути. Всего вам самого безопасного!

*Пока мы готовили к выпуску это интервью, скорость PT NGFW увеличилась до 160 Гбит/с, а производительность IPS — до 60 Гбит/с.