Можно ли получить высокую пропускную способность на NGFW?

Можно ли получить высокую пропускную способность на NGFW?

Можно ли получить высокую пропускную способность на NGFW?

Российские производители межсетевых экранов нового поколения (Next-generation firewall, NGFW) после 2022 года отдают приоритет созданию высокопроизводительных платформ. Связано это с массовыми миграциями с иностранных решений на отечественные межсетевые экраны.

 

 

 

 

 

 

  1. Введение
  2. Стабильность и отказоустойчивость
  3. Высокая пропускная способность
  4. Локализация
  5. Выводы

Введение

С корпоративными сегментами всё более или менее проходит хорошо, так как для данного сегмента нет требований к высокой пропускной способности. А вот для защиты высокопроизводительных сетей, которые используются в центрах обработки данных (ЦОД), есть сложности. И эти сложности заключаются в:

  • повышенной стабильности и отказоустойчивости;
  • высокой пропускной способности межсетевых экранов;
  • локализации компонентов.

Стабильность и отказоустойчивость

Этот фактор критичен для защиты высоконагруженных сетей. Выход такого устройства из строя парализует работу всей инфраструктуры. Стабильность работы таких продуктов должна приближаться к 99,99 %. Надёжность работы продукта зависит от двух факторов: качества аппаратных комплектующих и качества тестирования кода продукта.

На достижение высокого уровня надёжности продукта влияют два фактора:

  1. Внутреннее тестирование перед релизом новой версии.
  2. Запросы в техподдержку от инсталлированной базы.

Чем больше времени будет потрачено на внутреннее тестирование, чем больше тестировщиков задействовано в процессе, и чем подробнее будут описаны тест-кейсы, тем надёжнее продукт будет на выходе. Известны случаи, когда бета-версия межсетевого экрана для защиты АСУ ТП тестировалась в течение трёх лет, прежде чем получала статус готовой к релизу.

Вопреки расхожему мнению, вендоры не тестируют свои продукты на заказчиках, этим занимается внутренний отдел тестирования. При этом широкая инсталлированная база — это бесценный источник нестандартных, редких и контринтуитивных особенностей и ошибок, которые не может предусмотреть ни один внутренний тест-аналитик.

В комбинации, эти факторы дают мощный синергический эффект. Ограничение по времени разработки и отсутствие инсталлированной базы приводит к обратному результату. Наличие жёсткого дедлайна, к которому любой ценой надо выпустить продукт, значительно повышает количество сюрпризов в дальнейшей эксплуатации.

Высокая пропускная способность

Какая пропускная способность межсетевых экранов необходима для защиты ЦОД? 100 Гбит/сек — много или мало? А может в самый раз? А 200 Гбит/сек? 400 Гбит/сек? Больше?

Всё зависит от архитектуры самих ЦОД. Одним предприятиям будет достаточно 100 Гбит/сек, другим  — 600 Гбит/сек. Но можно ли на текущий момент получить такие цифры пропускной способности на межсетевых экранах?

Российские вендоры межсетевых экранов используют три варианта получения высокой пропускной способности:

  1. Ферма из ряда межсетевых экранов, которые объединяются с помощью внешнего балансировщика.
  2. Использование специализированных чипов (ASIC, FPGA) для аппаратного ускорения обработки трафика и сервисов безопасности.
  3. Использование очень мощных платформ на базе x86 процессоров последнего поколения.

У каждого из подходов есть свои плюсы и минусы. Ферма межсетевых экранов с балансировщиком использует уже готовое железо и отлаженный софт, но это дополнительное оборудование, которое требуется приобретать и эксплуатировать.

Использование спец.чипов для анализа и обработки трафика создаёт для вендора риск прерывания цепочки поставок. Для заказчика же это более длинный цикл добавления нового функционала, плюс риск невозможности исправления определённых багов без замены устройства.

Вариант с использованием процессоров Intel последнего поколения может дать необходимую пропускную способность, однако их сложнее контролировать при производстве. Стоит также учитывать, что получение как процессоров, так и материнских плат в товарных количествах создаёт дополнительную логическую сложность.

Сейчас у каждого из этих подходов есть последователи, какой подход победит в итоге — узнаем через несколько лет.

Локализация

Локализация предполагает высокий уровень контроля за аппаратной и технической документацией. Данный фактор не даёт использовать в локализованных платформах процессоры Intel последнего поколения. Приходится выбирать:

  • либо использовать процессоры Intel последнего поколения и получать высокую пропускную способность, но не соответствовать требованиям по локализации и доверию;
  • либо использовать процессоры на два-три поколения назад, с более низкой производительностью, но с необходимым уровнем контроля.

Выводы

Каждый подход имеет свои преимущества и недостатки. И каждый вендор в круглосуточном режиме пытается решить недостатки выбранного подхода. Пока разработчики активно допиливают продукты, в дело вступает маркетинг. Часто встречаем заявления:

  • «Самый производительный NGFW»;
  • «Получаем 200 Гбит/сек».

Но какой ценой это получается и нет ли здесь рекламы, чтобы привлечь внимание?

И действительно ли получаются условные 200 Гбит/сек? Каждый вендор тестирует производительность FW и NGFW по собственной методике. 200 Гбит/сек, полученные у одного вендора, не будут равны 200 Гбит/сек у другого. Основное для измерения производительности — тип трафика, в котором определяется набор приложений в трафике, размер пакетов.

В итоге заказчикам, и раньше во многом перегруженным информацией, становится тяжело разобраться во многообразии продуктов на рынке и преимуществах / недостатках каждого из подходов.

Выход — проведение публичных тестов и демонстраций работоспособности высокопроизводительных решений. Чем больше публичных и независимых тестирований, тем лучше!

Недавно на Anti-Malware.ru анализировали влияние указа Президента России № 500 (от 13.06.2024) на импортозамещение NGFW. Приблизит ли нас новый регуляторный рычаг к тотальному импортозамещению межсетевых экранов нового поколения, совпадают ли потребности заказчиков со способностями вендоров?

В прошлом году также рассматривался отечественный рынок Next-Generation Firewall: статье видна динамика развития на фоне регуляторных требований по импортозамещению и ухода иностранных вендоров.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru