Российские производители межсетевых экранов нового поколения (Next-generation firewall, NGFW) после 2022 года отдают приоритет созданию высокопроизводительных платформ. Связано это с массовыми миграциями с иностранных решений на отечественные межсетевые экраны.
Введение
С корпоративными сегментами всё более или менее проходит хорошо, так как для данного сегмента нет требований к высокой пропускной способности. А вот для защиты высокопроизводительных сетей, которые используются в центрах обработки данных (ЦОД), есть сложности. И эти сложности заключаются в:
- повышенной стабильности и отказоустойчивости;
- высокой пропускной способности межсетевых экранов;
- локализации компонентов.
Стабильность и отказоустойчивость
Этот фактор критичен для защиты высоконагруженных сетей. Выход такого устройства из строя парализует работу всей инфраструктуры. Стабильность работы таких продуктов должна приближаться к 99,99 %. Надёжность работы продукта зависит от двух факторов: качества аппаратных комплектующих и качества тестирования кода продукта.
На достижение высокого уровня надёжности продукта влияют два фактора:
- Внутреннее тестирование перед релизом новой версии.
- Запросы в техподдержку от инсталлированной базы.
Чем больше времени будет потрачено на внутреннее тестирование, чем больше тестировщиков задействовано в процессе, и чем подробнее будут описаны тест-кейсы, тем надёжнее продукт будет на выходе. Известны случаи, когда бета-версия межсетевого экрана для защиты АСУ ТП тестировалась в течение трёх лет, прежде чем получала статус готовой к релизу.
Вопреки расхожему мнению, вендоры не тестируют свои продукты на заказчиках, этим занимается внутренний отдел тестирования. При этом широкая инсталлированная база — это бесценный источник нестандартных, редких и контринтуитивных особенностей и ошибок, которые не может предусмотреть ни один внутренний тест-аналитик.
В комбинации, эти факторы дают мощный синергический эффект. Ограничение по времени разработки и отсутствие инсталлированной базы приводит к обратному результату. Наличие жёсткого дедлайна, к которому любой ценой надо выпустить продукт, значительно повышает количество сюрпризов в дальнейшей эксплуатации.
Высокая пропускная способность
Какая пропускная способность межсетевых экранов необходима для защиты ЦОД? 100 Гбит/сек — много или мало? А может в самый раз? А 200 Гбит/сек? 400 Гбит/сек? Больше?
Всё зависит от архитектуры самих ЦОД. Одним предприятиям будет достаточно 100 Гбит/сек, другим — 600 Гбит/сек. Но можно ли на текущий момент получить такие цифры пропускной способности на межсетевых экранах?
Российские вендоры межсетевых экранов используют три варианта получения высокой пропускной способности:
- Ферма из ряда межсетевых экранов, которые объединяются с помощью внешнего балансировщика.
- Использование специализированных чипов (ASIC, FPGA) для аппаратного ускорения обработки трафика и сервисов безопасности.
- Использование очень мощных платформ на базе x86 процессоров последнего поколения.
У каждого из подходов есть свои плюсы и минусы. Ферма межсетевых экранов с балансировщиком использует уже готовое железо и отлаженный софт, но это дополнительное оборудование, которое требуется приобретать и эксплуатировать.
Использование спец.чипов для анализа и обработки трафика создаёт для вендора риск прерывания цепочки поставок. Для заказчика же это более длинный цикл добавления нового функционала, плюс риск невозможности исправления определённых багов без замены устройства.
Вариант с использованием процессоров Intel последнего поколения может дать необходимую пропускную способность, однако их сложнее контролировать при производстве. Стоит также учитывать, что получение как процессоров, так и материнских плат в товарных количествах создаёт дополнительную логическую сложность.
Сейчас у каждого из этих подходов есть последователи, какой подход победит в итоге — узнаем через несколько лет.
Локализация
Локализация предполагает высокий уровень контроля за аппаратной и технической документацией. Данный фактор не даёт использовать в локализованных платформах процессоры Intel последнего поколения. Приходится выбирать:
- либо использовать процессоры Intel последнего поколения и получать высокую пропускную способность, но не соответствовать требованиям по локализации и доверию;
- либо использовать процессоры на два-три поколения назад, с более низкой производительностью, но с необходимым уровнем контроля.
Выводы
Каждый подход имеет свои преимущества и недостатки. И каждый вендор в круглосуточном режиме пытается решить недостатки выбранного подхода. Пока разработчики активно допиливают продукты, в дело вступает маркетинг. Часто встречаем заявления:
- «Самый производительный NGFW»;
- «Получаем 200 Гбит/сек».
Но какой ценой это получается и нет ли здесь рекламы, чтобы привлечь внимание?
И действительно ли получаются условные 200 Гбит/сек? Каждый вендор тестирует производительность FW и NGFW по собственной методике. 200 Гбит/сек, полученные у одного вендора, не будут равны 200 Гбит/сек у другого. Основное для измерения производительности — тип трафика, в котором определяется набор приложений в трафике, размер пакетов.
В итоге заказчикам, и раньше во многом перегруженным информацией, становится тяжело разобраться во многообразии продуктов на рынке и преимуществах / недостатках каждого из подходов.
Выход — проведение публичных тестов и демонстраций работоспособности высокопроизводительных решений. Чем больше публичных и независимых тестирований, тем лучше!
Недавно на Anti-Malware.ru анализировали влияние указа Президента России № 500 (от 13.06.2024) на импортозамещение NGFW. Приблизит ли нас новый регуляторный рычаг к тотальному импортозамещению межсетевых экранов нового поколения, совпадают ли потребности заказчиков со способностями вендоров?
В прошлом году также рассматривался отечественный рынок Next-Generation Firewall: статье видна динамика развития на фоне регуляторных требований по импортозамещению и ухода иностранных вендоров.
