Поговорим о специфике внедрения межсетевых экранов следующего поколения (Next-Generation Firewall, NGFW). Как изменились требования заказчиков к российским NGFW? Чего не хватает в популярных российских NGFW и чем это можно компенсировать?
- Введение
- Рынок в фазе трансформации
- Проблемы российских NGFW
- И снова о тестировании
- Задача — сформировать базы знаний
- Типичные ошибки
- Кто держится за унаследованное
- Прогнозы
- Выводы
Введение
Темой для обсуждения на этот раз стали практические аспекты внедрения межсетевых экранов нового поколения, или NGFW. Эксперты обсудили причины того, почему одни компании экстренно замещали оборудование иностранных вендоров в 2022 году, другие делают это только сейчас, а кто-то откладывает этот процесс. Кроме того, обсуждались лучшие практики и типовые ошибки внедрения NGFW.
Рисунок 1. Участники дискуссии в студии AM Live
В качестве экспертов в эфир AM Live были приглашены:
- Дмитрий Головко, менеджер по продуктам облачной и сетевой безопасности, «Лаборатория Касперского».
- Андрей Щербаков, директор по развитию бизнеса Solar NGFW, ГК «Солар».
- Алмаз Мазитов, лидер по направлению NGFW, Innostage.
- Роман Асаев, руководитель группы сетевой безопасности центра ИБ, «Инфосистемы Джет».
- Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности».
- Николай Затерюкин, руководитель группы сетевой безопасности, «Платформикс».
- Евгений Ольков, технический директор, TS Solution.
Ведущий дискуссии — генеральный директор «АМ Медиа» Илья Шабанов.
Рынок в фазе трансформации
По мнению участников дискуссии, рынок NGFW переживает уже вторую фазу трансформации. Меняются продукты, появляются новые разработки, а за ними — и требования потенциальных заказчиков. В итоге отечественным вендорам больше не прощают того, на что могли даже не обратить внимания в 2022 или даже 2023 году.
Генеральный директор «АМ Медиа» Илья Шабанов
Илья Шабанов:
— Любое проникновение новой технологии начинается с 10–15 % тех, кто готов рискнуть и начинает её внедрять. Основная масса решается попробовать позже, причём этот процесс проходит в несколько фаз.
Российский рынок вступает во вторую фазу, когда пионеры уже внедрили отечественные NGFW и начинает это делать основная масса. Но при этом около 40 % пока не собираются мигрировать на отечественное оборудование.
Руководитель отдела продвижения продуктов «Кода Безопасности» Павел Коростелев
Павел Коростелев:
— Аппетит к риску определяет и сегмент рынка NGFW. Чем ниже риск, тем выше шанс, что оборудование решатся заменить. В первую волну 2022–2023 гг. заменяли NGFW уровня сетевых сегментов. Во вторую волну, которая идёт сейчас, замещают оборудование для межсетевой сегментации. И только с 2025 года, не раньше, настанет очередь периметровых NGFW. Требования к функциям не меняются, но к условиям эксплуатации — ужесточаются. Того, на что закрывали глаза в 2022-м, не будут прощать в 2024 году.
Технический директор TS Solution Евгений Ольков
Евгений Ольков:
— Заказчики перестали требовать от отечественных продуктов полного повторения зарубежных. Из функций во главе сетевые, ИБ-функции рассматриваются как второстепенные.
Павел Коростелев возразил, что приоритеты разных вендоров по части сетевых и защитных функций очень сильно различаются, но согласился с тем, что двойственная природа NGFW вносит определённую сумятицу.
Руководитель группы сетевой безопасности центра ИБ компании «Инфосистемы Джет» Роман Асаев
Роман Асаев:
— NGFW ядра сети уже начинают менять на отечественные. Появились очень крупные инсталляции. Спецификой таких проектов является то, что одну зарубежную систему меняют на несколько отечественных, потому что невозможно обеспечить ту же функциональность с помощью одного решения.
Илья Шабанов обратил внимание на то, что использование оборудования нескольких вендоров влечёт за собой серьёзные неудобства для пользователей из-за необходимости обслуживания разномастного технозоопарка. Однако, по мнению Романа Асаева, данная проблема решаема.
По словам Алмаза Мазитова, малый и средний сегменты NGFW российские продукты вполне успешно закрывают. Сложности начинаются там, где нужна высокая производительность, в частности для защиты крупных ЦОДов.
Первый опрос показал (рис. 2), что весьма значительная часть зрителей рассчитывают на собственные силы при внедрении отечественного NGFW. Однако, по мнению Алмаза Мазитова, те, кто выбрал такой вариант, скорее всего, даже не начинали проект по миграции.
Рисунок 2. Предпочтения в выборе NGFW
Проблемы российских NGFW
По общему мнению участников дискуссии, одной из главных проблем российских NGFW наряду с неполной функциональностью является недостаточная производительность. Как отметил Евгений Ольков, сейчас высокопроизводительными считаются отечественные NGFW с пропускной способностью в 5 Гбит/с, тогда как раньше такой показатель был признаком устройства среднего уровня.
Павел Коростелев внёс уточнение: по его оценке, проблемой является не производительность устройств как таковая, а связка производительности и отказоустойчивости. Этот фактор, по его мнению, для многих заказчиков является блокирующим при решении вопроса о внедрении российских продуктов.
По оценке Романа Асаева, проблемой для многих заказчиков стал «фактор 2025 года»: они должны до 1 января заменить эксплуатируемые зарубежные решения, но миграция часто имеет второе, а то и третье дно: не всегда легко перенести все правила, количество которых в крупных компаниях тянет на десятки тысяч, плюс миграция часто влечёт за собой необходимость модернизации и оптимизации сетевой инфраструктуры.
Евгений Ольков назвал проблемой высокую вариативность российских решений. Это существенно осложняет тестирование на фоне острого дефицита кадров.
Лидер по направлению NGFW Innostage Алмаз Мазитов
Алмаз Мазитов:
— Я бы назвал проблемой нестабильное качество прошивок. Оно проявляется тем, что после нескольких обновлений NGFW перестаёт нормально работать. Откат возможен, но это более трудоёмкая процедура по сравнению с обновлением.
Менеджер по продуктам облачной и сетевой безопасности «Лаборатории Касперского» Дмитрий Головко
Дмитрий Головко:
— Даже для виртуальных NGFW, не говоря уже об облачных, до сих пор полностью не устранены регуляторные барьеры. Эти нюансы приходится учитывать, особенно если речь идёт об объектах критической информационной инфраструктуры.
Руководитель группы сетевой безопасности компании «Платформикс» Николай Затерюкин
Николай Затерюкин:
— Российские продукты обманчиво просты в использовании. Их интерфейс кажется привычным, но до многих функций не так просто добраться.
Дмитрий Головко назвал эту особенность серьёзно контрастирующей с требованием к NGFW быть максимально простыми в использовании и инсталляции. С другой стороны, как напомнил Павел Коростелев, усложнение интерфейса связано с сокращением площади атаки, как того требуют регуляторы.
Результаты второго опроса зрителей (рис. 3) показали, что наибольшее недовольство вызывают проблемы с надёжностью, отсутствие или плохая работа необходимых функций, а также недостаток опыта. А вот недостаточная производительность набрала лишь 8 % голосов — столько же, сколько и в прошлом эфире.
Рисунок 3. Основные проблемы по итогам внедрений российских NGFW
И снова о тестировании
Тестирование является важной частью процедуры внедрения NGFW. Как отметил Алмаз Мазитов, без тестирования сейчас NGFW просто никто не покупает, а в самом процессе участвуют все: заказчики, вендоры и интеграторы. Технологии за последние два с лишним года, по мнению представителя Innostage, достаточно отработаны. Однако, по оценке Ильи Шабанова, отсутствие информации и опыта — одна из болевых точек заказчиков.
Роман Асаев отметил, что существует два вида тестирования: функциональное и нагрузочное, с принципиально разными методиками. Также он обратил внимание на то, что вендоры в нагрузочных тестированиях используют не реальный или близкий к реальному трафик, а разного рода синтетику, которая сродни сферическому коню в вакууме и не встречается в реальной жизни.
По оценке Евгения Олькова, долгая фаза тестирования и «пилотирования» является отличительной чертой проектов по импортозамещению систем данного класса. При этом тестированием одного решения дело никогда не обходится. По его мнению, это обстоятельство требует выстраивания отношений интеграторов с вендорами.
Впрочем, как предупредил Павел Коростелев, не все заказчики доросли до тестирования. В итоге часто встречаются ситуации, когда тестирование проводит один интегратор, а в качестве исполнителя работ по проекту выступает совсем другой.
Директор по развитию бизнеса Solar NGFW ГК «Солар» Андрей Щербаков
Андрей Щербаков:
— Тестирование оборудования — важная часть разогрева рынка. В ней вендор должен как минимум участвовать, прежде всего инвестициями. Возможности как интеграторов, так и заказчиков в этом процессе серьёзно ограничены.
Задача — сформировать базы знаний
Как отметил Павел Коростелев, после 2022 года накопленный в ходе эксплуатации зарубежных решений опыт оказался бесполезным. Кроме того, по его мнению, российские вендоры не успели накопить такие же базы знаний, как иностранные, плюс не сформировались площадки по обмену техническими знаниями в области сетевой безопасности в целом, а не только по NGFW, причём не только со стороны вендоров, но и со стороны интеграторов и заказчиков. Павел Коростелев также назвал важным элементом обратной связи обращения в техническую поддержку: «нет тикета — нет проблемы, а значит, вендор не сможет её устранить и сделать продукт лучше».
Андрей Щербаков также назвал формирование обратной связи между вендором и заказчиком важной задачей. В первую очередь он обратил внимание на то, что именно техническая поддержка является основным инструментом сбора информации о реальных проблемах, без этого знания невозможно их правильно диагностировать и впоследствии устранять.
Верно и обратное. Евгений Ольков привёл статистику Check Point, согласно которой 70 % обращений в техподдержку закрываются как раз с помощью баз знаний. В России же работа по их формированию ещё только предстоит.
Николай Затерюкин охарактеризовал ситуацию ещё более драматически. По его словам, очень многие российские продукты плохо документированы. Более того, он посетовал на то, что не формализованы многие требования регуляторов. Положение, как отметил эксперт, осложняется тем, что часто заказчики не знают, чего им ожидать от оборудования, не только NGFW. Поэтому важна задача аудита, в решение которой необходимо вовлекать и заказчиков.
По оценке Дмитрия Головко, эта задача будет со временем решена, однако данный процесс замедляется узостью российского рынка.
Роман Асаев охарактеризовал ситуацию с технической поддержкой на три балла по советской школьной системе. По его мнению, дело обстоит не блестяще, но и без явных провалов.
Типичные ошибки
По оценке Евгения Олькова, основной проблемой в ходе проектов является неготовность к изменениям, в том числе в архитектуре сетей. Кроме того, он обратил внимание на то, что при импортозамещении придётся забыть о принципе «одной коробки».
Павел Коростелев предостерёг от завышенных ожиданий. По его мнению, также опасны плохая проработка плана проекта и попытки экономить на технической поддержке.
По мнению Романа Асаева, часто заказчики забывают о том, что внедрение — это процесс, а не разовое мероприятие. Представитель «Инфосистем Джет» назвал залогом успеха взаимодействие всех участников цепочки «заказчик — интегратор — вендор».
Андрей Щербаков и Алмаз Мазитов сошлись во мнении, что проблемы начинаются тогда, когда заказчик требует невозможного. Представитель ГК «Солар» посоветовал начинать проект не с оборудования уровня ядра или периметровой защиты, а с более низких сегментов сети.
Дмитрий Головко призвал ориентироваться, с одной стороны, на бизнес-процессы компании, с другой — на её инфраструктуру. Он также предостерёг от излишнего доверия к информации от вендора, где много лукавства.
Николай Затерюкин назвал основной ошибкой выделение недостаточного количества времени для проекта. По оценке Романа Асаева, процесс миграции обычно занимает не меньше года.
Согласно результатам третьего опроса, в 23 % компаний отечественный NGFW уже внедрили, а пилотные проекты по одному или нескольким продуктам идут в общей сложности в 43 % организаций. Те 6%, которые «не состоят в отношениях с NGFW», по мнению Павла Коростелева, представляют собой очень крупные компании, которые не склонны пускать кого бы то ни было в свою инфраструктуру.
Рисунок 4. Стадии замены NGFW
Кто держится за унаследованное
Не секрет, что значительная часть российских компаний продолжают использовать зарубежные системы. По оценке Николая Затерюкина, это во многом связано с недостаточной готовностью российских решений, которым чего-то не хватает, причём это «что-то» часто является весьма критически значимой функцией.
При этом Роман Асаев оценил объём «серых» поставок как исчезающе малый. В целом, использование зарубежного оборудования в условиях, когда техподдержка от вендора находится под большим вопросом, создаёт большой риск.
Дмитрий Головко назвал основной потенциальной угрозой отсутствие закрытия критических уязвимостей, ко многим из которых уже есть эксплойты, применяемые злоумышленниками в ходе атак. Тем не менее ни данное обстоятельство, ни возможная ответственность за несоблюдение требований регуляторов не останавливают компании от использования зарубежных решений. Впрочем, как подчеркнул Евгений Ольков, раз на такой риск идут, значит, замена означает ещё больший риск.
Павел Коростелев возразил, что вопросы с технической поддержкой вполне решаемы, тем более что один из крупнейших зарубежных вендоров остался на рынке.
Алмаз Мазитов обратил внимание на следующее: даже если заказчик начнёт миграцию, что называется, прямо сейчас, то он всё равно не успеет заменить оборудование на отечественное к началу следующего года. Это, по мнению эксперта, чревато серьёзными проблемами не только для заказчиков, которые вдруг решатся на такой проект, но и для интеграторов и вендоров.
Прогнозы
Как отметил Дмитрий Головко, на устранение «детских болезней» российских NGFW уйдёт около пяти лет. Именно столько, по его мнению, занимает создание зрелого продукта, о чём свидетельствует как российский опыт, так и мировой. В итоге к 2027 году начнётся переосмысление опыта импортозамещения. С этой оценкой согласились все участники дискуссии.
Роман Асаев отметил, что пятилетний срок касается не только относительно новых игроков, но и относительно «старых» компаний, которые вышли на рынок NGFW до 2022 года. Это связано с тем, что изменились требования к продуктам, вследствие чего вендорам пришлось занимать ниши, в которых они раньше не были представлены. Также Роман Асаев спрогнозировал на 2027–2028 годы третью волну импортозамещения, куда попадут те, кто пока не спешит менять оборудование, которому нет полноценной российской замены.
По мнению Павла Коростелева, фаза экстремального развития будет закончена уже в 2025 году, причём для всех, включая вендоров и заказчиков. Также к тому времени, по его оценке, появится запрос на новый класс продуктов — инструменты оркестровки для оборудования разных вендоров.
Как показал результат финального опроса (рис. 5), лишь 13 % опрошенных не планируют расставаться с зарубежным продуктом. Однако, как обратил внимание Илья Шабанов, очень высока доля тех, кто ничего не понял.
Рисунок 5. Отношение ко внедрению российских NGFW
Выводы
По мнению экспертов, в настоящее время идёт вторая волна импортозамещения NGFW. Решающей станет третья, которая наступит через четыре-пять лет, когда российское оборудование достигнет достаточного уровня зрелости и исчезнут препятствия для миграции у тех, кто опасается делать это сейчас.
Вместе с тем есть шанс и у зарубежных вендоров, но при выполнении целого ряда условий — прежде всего, в случае открытия полноценных представительств в России. Это касается как новых вендоров из дружественных стран, так и тех, кто ушёл в 2022 году. Последним, конечно, будет заметно труднее.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.
