Дмитрий Головко, «Лаборатория Касперского»: NGFW будет основным компонентом в нашей экосистеме

Слухи о том, что «Лаборатория Касперского» разрабатывает собственный межсетевой экран следующего поколения, ходили уже очень давно. Все ждали, и вот наконец это случилось. Сегодня вы узнаете, почему «Лаборатория Касперского» решила выйти на этот рынок и что «под капотом» у Kaspersky NGFW. Поговорим об этом с Дмитрием Головко, менеджером по продуктам облачной и сетевой безопасности «Лаборатории Касперского».

Рынок сетевой безопасности в России становится перенасыщенным, на нём уже насчитывается несколько десятков NGFW. Почему Kaspersky решила на него выйти?

Д. Г.: В первую очередь, это ответ на запросы рынка и наших заказчиков. Сейчас в России есть проблема с качественными отечественными решениями типа NGFW, и многие заказчики говорили нам в неофициальной обстановке, что у нас лидерские технологии по защите, в том числе и по сетевой безопасности, и что неплохо было бы это всё объединить, сделать продукт, который действительно будет котироваться на российском рынке. Так родилась эта идея.

Что представляет собой сейчас первая версия Kaspersky NGFW?

Д. Г.: Пока это — бета-версия продукта, так как первый коммерческий релиз нашего решения запланирован на следующий год. Сейчас она ориентирована в первую очередь на функции сетевой безопасности. У нас уже есть ряд интегрированных механизмов: IDPS, антивирус, DNS-защита, веб-контроль. Для каждого из них мы можем использовать SSL-инспекцию, чего до сих пор нет у некоторых отечественных вендоров.

Плюс ко всему, достигнуты неплохие показатели производительности — за счёт того, что мы долго работали над архитектурой нашего решения. Уже на текущий момент нам удалось достигнуть производительности порядка 20 гигабит в секунду в режиме «L7 Firewall». Включая IDPS, мы получаем скорость примерно 5 гигабит в секунду. В режиме «всё включено» — полтора гигабита в секунду. В нашей архитектуре заложен потенциал кратного роста, поэтому мы эти цифры будем в дальнейшем увеличивать.

Также мы имеем централизованную консоль управления и просмотр аналитической информации по работе Kaspersky NGFW. Кроме того, наше решение уже сейчас интегрировано в экосистему Kaspersky XDR.

Если это бета-версия, то её можно тестировать бесплатно. Главное, чтобы вы одобрили заявку. Верно?

Д. Г.: Да, любой желающий может обратиться с заявкой на «пилотирование» нашего решения. Мы будем эти заявки рассматривать и выберем целевую группу наших заказчиков, с которыми будем работать в рамках этого пилотного тестирования. Нам важно получить обратную связь относительно функциональности. Возможно, в разработанном решении есть всё, что нужно. Возможно, потребуются доработки.

На кого из коллег, отечественных или зарубежных, ориентировались при разработке?

Д. Г.: Мы смотрели на опыт западных коллег. В первую очередь, конечно, на Palo Alto Networks и Fortinet, пытались взять от них всё самое лучшее. Например, у Palo Alto мы позаимствовали идеологию того, что контроль трафика в приложении должен обрабатываться уже на уровне правил фильтрации — то есть не создаётся какой-то отдельный профиль для этого, а есть возможность указывать приложение в правилах. От Fortinet мы, наоборот, взяли привязку конкретных профилей механизмов безопасности к соответствующим правилам — то есть возможность настроить правила, указать им какие-то квалификаторы.

Когда началась разработка NGFW?

Д. Г.: Многие компании начали разрабатывать своё собственное решение NGFW в 2022 году. У нас это началось чуть раньше, в 2020 году. Очень много времени мы потратили на то, чтобы выбрать оптимальную архитектуру решения. Рассматривались различные базовые компоненты. По итогу мы пришли к тому, что используем у себя в архитектуре VPP. Сейчас мы понимаем, что он не совсем подходит для наших задач, в том числе для достижения стабильной работы сетевой функциональности, производительности решения, поэтому мы вносим свои изменения в VPP, чтобы получить впоследствии собственную операционную систему, которая позволит нам решить все задачи по производительности, стабильности, отказоустойчивости, безопасности.

Есть такие сугубо российские истории, когда вендор выходит и говорит, что они за год сделали полнофункциональный NGFW, причём не бета-версию, а полноценный релиз. Это вообще реально? Как вы это воспринимаете?

Д. Г.: Важно понимать, что это за компания, с какой экспертизой люди там работают, кто входит в продуктовую команду. Естественно, маленькая компания, в которой трудится один разработчик, за год такой продукт не может сделать. Если это компания, которая обладает большими ресурсами, у неё, скажем, более 20 разработчиков, то, конечно же, за год они смогут уже показать некую версию-минимум (MVP). Возможно, в ней не будет достаточной функциональности, но на этом этапе можно будет получать какую-то обратную связь. Однако для полноценного релиза года маловато.

Kaspersky NGFW — это программное решение или ПАК?

Д. Г.: В «бете» мы будем отдавать нашим заказчикам для тестирования именно ПАКи, чтобы можно было проверить как функциональность, так и производительность. Сейчас решение Kaspersky NGFW — это полностью программно-аппаратный комплекс. Также мы планируем и запуск своих собственных «виртуалок», но это будет чуть позже, в 2025 году. Есть план по поддержке отечественных систем виртуализации.

Мы на наших эфирах очень много говорили о производительности NGFW. Какую производительность вы сразу закладывали и какое аппаратное ускорение используется?

Д. Г.: В первую очередь важно сказать о Stateful Firewall с возможностью отслеживания состояния сессии. Поддерживает он на текущий момент до 20 тысяч правил. Особенность алгоритма обработки заключается в том, что используется бинарный поиск по общему дереву правил. Благодаря этому количество правил не влияет на производительность.

Второе — у нас есть механизм SSL Inspection, который позволяет нам посмотреть вглубь зашифрованного трафика и после этого отправить его на анализ в любой из функциональных компонентов. Иначе говоря, любой механизм защиты может после SSL-инспекции получить расшифрованный трафик и проинспектировать его на наличие каких-либо угроз.

Следующее — это наше ядро IDPS полностью собственной разработки, позволяющее детектировать и предотвращать атаки. Есть потоковый антивирус, который уже на текущий момент может использовать как локальные базы хешей, так и сведения из Kaspersky Security Network. И, конечно же, это механизм DNS Security, который позволяет нам проверять трафик на уровне DNS на наличие обращения к потенциально опасным доменам.

Также есть контроль приложений. Уже на этапе «беты» поддерживается порядка 4000 приложений. Большая часть веб-сервисов у нас может определяться по SNI. Соответственно, для того чтобы использовать возможность обнаружения этих веб-сервисов и контролировать трафик через создание правил фильтрации, можно не включать SSL Inspection, что позволит сэкономить производительность.

Мы знаем, что многие коллеги по рынку торопились с релизами и зачастую выпускали откровенно «сырые» продукты. Что для вас было важно зафиксировать в первой релизной версии? Что самое главное в NGFW, о чём вы думали в первую очередь?

Д. Г.: Самое первое, на что мы ориентировались, — это, наверное, даже не функциональность, а всё-таки стабильность решения. Общаясь с заказчиками, мы понимаем, какая боль их сейчас преследует во время выбора того NGFW, который будет защищать их инфраструктуру. Немаловажную роль, конечно же, сыграли и основные функции безопасности, такие как IDPS и антивирус.

Естественно, мы понимаем, какая ответственность лежит на нас как на международном вендоре по разработке ИБ-продуктов, с учётом того что мы живём в неспокойное время, когда ландшафт угроз широк. Наше решение должно позволять как можно сильнее минимизировать риски, которые могут возникнуть при попытках атак на инфраструктуры наших заказчиков.

И, конечно же, также мы работаем над производительностью. Я считаю, что мы достигли достаточно хороших показателей для нашей бета-версии.

У вас уже есть аппаратное ускорение?

Д. Г.: Мы пока не смотрим в сторону аппаратных ускорителей, таких как FPGA. Пока что мы полностью концентрируем наши силы на архитектуре x86. Но мы будем готовы в любой момент рассмотреть и аппаратное ускорение — если вдруг поймём, что на каком-то этапе достигли «бутылочного горлышка», которое не получится обойти без дополнительного аппаратного ускорения.

Существует мнение, что практику отказоустойчивости можно наработать только с годами, когда продукт используется уже многими компаниями. У вас инсталляционной базы нет. Как вы, можно сказать, в тепличных условиях прорабатывали все возможные сценарии? Учитывали, может быть, чужой опыт? Как вообще происходил процесс тестирования?

Д. Г.: У нас под разной нагрузкой в разных режимах было установлено несколько программно-аппаратных комплексов, то есть тестировали мы, конечно, не на «виртуалках», а уже на целевом решении. Под разными режимами запускали трафик, приближенный к реальному, но синтетический. Также мы в одном из внутренних сегментов тоже поставили себе NGFW.

Сейчас мы прорабатываем вопрос установки этого решения, согласовываем всё это с нашей ИБ, чтобы та функциональность, которая у нас сейчас есть, их устроила.

И, конечно же, сыграют роль те «пилоты», которые мы сейчас будем планировать с заказчиками. Мы хотим посмотреть, действительно ли усилия по увеличению надёжности нашего продукта возымели эффект и у наших заказчиков. 

Что из функциональности планируете добавить уже в этом году и начале следующего?

Д. Г.: В этом году у нас пока не планируется больше релизов, но мы уже готовы выпускать патчи в случае необходимости. Также у нас запланированы релиз следующей бета-версии в начале 2025 года и коммерческий релиз под конец 2025 года. Планируем в следующем году добавлять больше сетевой функциональности, чтобы можно было удовлетворить потребности наших заказчиков. Мы хотим, чтобы наше решение можно было установить в любой сегмент инфраструктуры.

Естественно, будем работать над отказоустойчивостью. В планах — разработать собственный кластер «актив — пассив» с возможностью синхронизации сессии. Хотелось бы сразу упомянуть, что VRRP, который многие рассматривают как хороший вариант для реализации кластера, мы использовать не будем — по той причине, что он не совсем надёжен. Будем смотреть в сторону реализации собственного проприетарного протокола, как, например, Fortinet.

Помимо отказоустойчивости, будем дорабатывать связанность с нашими собственными продуктами. Планируем в следующем году реализовать взаимодействие с KATA, чтобы можно было отправлять файлы на проверку. Также рассматриваем возможность отправки не по протоколу ICAP, потому что он медленный: проверка происходит в течение получаса, а то и дольше. Хотим сделать более нативную интеграцию через API, чтобы можно было достаточно быстро проверять файлы в песочнице.

Помимо этого, постараемся также в следующем году реализовать сценарии по реагированию на NGFW сразу же при детектировании.

За счёт чего планируете побеждать многочисленных конкурентов?

Д. Г.: Хотелось бы сказать, что у нас действительно глобальная экспертиза по угрозам по всему миру. Это подтверждают многочисленные независимые исследования наших продуктов. И мы, конечно же, всю эту глобальную экспертизу используем для того, чтобы разрабатывать технологии для Kaspersky NGFW.

Немаловажную роль играет и архитектура, которую мы заложили. Она позволит нам сильно увеличить производительность в дальнейшем, чем не могут, к сожалению, сейчас похвастаться некоторые игроки на российском рынке. И, конечно же, есть «тузы в рукаве», например SD-WAN.

Kaspersky SD-WAN у вас в портфеле есть уже давно. Как новый NGFW будет встраиваться в SD-WAN или взаимодействовать с ним?

Д. Г.: Мы уже собирали несколько архитектурных комитетов с командой разработки SD-WAN, думали, как лучше всё это сделать. У нас есть уже некий план. В ближайшее время планируется проведение внутренних пилотных мини-проектов.

Увидим ли мы облачный Kaspersky NGFW в виде сервиса в обозримом будущем? Например, как часть решения SASE?

Д. Г.: Да, конечно. На самом деле, даже объединение нашего NGFW с SD-WAN в единое решение «из коробки» ни в коем случае не противоречит той концепции SASE, которую мы заявляли ранее. Есть также концепция Secure SD-WAN, которая позволяет обеспечивать безопасность не из облака, а непосредственно в филиале. При этом мы ещё и строим отказоустойчивую сеть за счёт SD-WAN. 

Таким образом, мы сможем поддержать сразу несколько концепций: это и Secure SD-WAN, и SASE. Часть трафика для обработки мы будем посылать в центральный узел, где будут развёрнуты виртуальные функции NGFW, а часть – напрямую в интернет. Этот трафик удастся обезопасить за счёт того, что соответствующие функции защиты его тоже будут проверять.

Смотрите ли в сторону промышленного NGFW? Насколько интересна была бы для вас эта задача?

Д. Г.: Это нам интересно, потому что у нас есть решения KICS for Networks, KICS for Nodes. Мы уже обсуждали с коллегами важность NGFW именно в промышленных сетях. Поэтому у нас в дорожной карте на 2026 год есть планы по реализации промышленного варианта NGFW. Мы планируем также сделать комплексное предложение по защите промышленных сетей для наших заказчиков.

От конкуренции продуктов рынок движется в сторону конкуренции экосистем. Каково место Kaspersky NGFW в вашей экосистеме?

Д. Г.: Наверное, NGFW будет основным компонентом в нашей экосистеме, он будет обеспечивать сетевую защиту. За счёт решения типа NGFW мы сможем не допускать реализации каких-либо атак в сторону инфраструктуры заказчика либо вовремя реагировать на них и, соответственно, предотвращать подобные атаки в дальнейшем.

Для многих заказчиков, по моему опыту общения, XDR до недавнего времени оставалось маркетинговой историей. Многие говорят, что буква R — реагирование — вроде как номинальная. Но вот именно NGFW на сетевом уровне может это реагирование во многом и поддержать. Насколько Kaspersky NGFW усилит эту концепцию XDR? Насколько сильнее станет XDR?

Д. Г.: Намного сильнее. Мы получим богатую информацию относительно того, что действительно у нас в сети происходит. Мы будем видеть движение трафика, соответствующие события поступят в нашу централизованную консоль, откуда будет идти управление NGFW, а в перспективе — и вообще всеми B2B-продуктами «Лаборатории Касперского». На основании этих событий можно создавать алерты и инциденты, настраивать те или иные действия. В том числе мы можем, например, блокировать определённые сессии по источнику либо по приложению. Можем создавать дополнительные правила фильтрации, которые позволят ограничить доступ к каким-то ресурсам, например, либо запретят определённым пользователям выход во внешнюю сеть.

Мы уже можем отправлять всю необходимую телеметрию из NGFW в XDR. Можно настраивать автоматизированные плейбуки, для того чтобы давать какой-то конкретный ответ на случай возникновения угрозы. Но пока что эти ответы — не нативные: требуется подготавливать некий скрипт, который как раз и реализует реагирование на NGFW.

В 2025 году планируем сделать это поведение более нативным, чтобы пользователь щелчком по консоли мог создать автоматизированный плейбук без написания каких-либо скриптов. Тогда при детектировании и срабатывании какого-то алерта мы сможем сразу же осуществлять автоматическое реагирование.

Дмитрий, спасибо за очень интересное и информативное интервью! Обязательно будем следить за развитием ваших продуктов. И ждём полноценный релиз NGFW!  Всего вам самого безопасного, до новых встреч!