Firewalls: ориентация на потребителя

Алексей
Лукацкий

Бизнес-консультант Cisco по информационной безопасности

1. Если рассматривать МЭ как независимое средство защиты без привязки к его производителю, то драйверов развития МЭ всего два – изменение ландшафта угроз и усложнение корпоративных или ведомственных сетей. Для реализации первого драйвера современные МЭ оснащаются большим функционалом по контролю нарушений политики безопасности во входящем и исходящем трафике, на сетевом и прикладном уровне, в открытом и зашифрованном потоке данных. Не случайно такую популярность получают продукты класса Next Generation, или МЭ следующего поколения. Второй драйвер требует умения работать в различных средах (например, в виртуальных или облачных), на различных участках сети (например, на периметре, в ЦОД, SAN, сегменте унифицированных коммуникаций – UC), поддерживать высокие скорости (десятки и даже сотни Гбит/с), работать со справочниками пользователей (например, с AD), уметь интегрироваться в существующую инфраструктуру и выполнять еще множество задач, не всегда напрямую связанных с безопасностью.

2. В смешивании в одном названии сразу двух классов защитных средств – классических межсетевых экранов и МЭ следующего поколения или прикладного уровня. Ориентированы они на работу на сетевом и прикладном уровне соответственно, хотя и имеют некоторый функционал своих "коллег". Однако, учитывая разную реализацию фильтруемых протоколов на сетевом и прикладном уровнях, а также принципы их работы, попытка найти "все в одном флаконе" часто обречена на неудачу – либо прикладная функция реализована некачественно и продукт не может пройти даже сертификацию во ФСТЭК на соответствие РД по МЭ, либо, наоборот, прикладная составляющая оставляет желать лучшего.

Второй особенностью является попытка решить все проблемы на периметре и с помощью одного устройства, на которое пытаются навесить все возможные функции защиты. Однако в условиях размытия периметра, активного развития целенаправленных угроз (APT), применения мобильных устройств и виртуализации, необходимости разграничения доступа во внутренней сети одно-единственное решение не способно эффективно решать все задачи сразу – нужна дифференциация. Для каждой точки установки и варианта развертывания найдется свой вариант, наиболее полно раскрывающий защитные возможности. При этом все названные МЭ имеют, как правило, единую программную платформу – только форм-фактор у них разный, зависящий от места установки.

3. Основная проблема адаптации МЭ к новым технологиям – скорость появления последних. Производители средств защиты зачастую вынуждены гнаться за новыми технологиями, как броня догоняет возможности новых снарядов. Выигрывает тот, кто расторопнее, или тот, кто сам является разработчиком новых технологий.

4. Основная рекомендация проста – не вестись на рекламные заявления производителя о том, что его межсетевой экран – пионер, лидер, "чародей и волшебник" магических квадратов и т.п. Межсетевой экран должен решать не описанные в рекламной брошюре задачи, а те проблемы, которые реально стоят перед заказчиком с учетом определенной перспективы. Зачем платить за возможности, которыми никто не планирует пользоваться ни сейчас, ни в будущем? Зачем тратить время на тестирование функционала, потребности в котором нет и не предвидится? Зачем создавать слабое звено в виде 95% неиспользуемых функций, для которых существует вполне реальная вероятность забыть их отключить или правильным образом настроить?

Второй совет будет применим только в России. Если перед вами стоит задача выбора сертифицированного МЭ, смотрите, что написано в сертификате. Очень часто бывает так, что там указано, что продукт сертифицирован по ТУ или на отсутствие НДВ, но ни слова о сертификации как МЭ. Возникает вопрос, почему? Почему производитель не смог свое изделие провести не через самую сложную процедуру тестирования у регулятора? Возможно, потому, что производитель, погнавшись за новомодными "фишками", забыл про основной функционал МЭ?

Третий совет также лежит на поверхности. Выбираемое решение должно хорошо поддерживаться в России. Это значит, что служба поддержки должна работать круглосуточно и на русском языке, не прерывая свою трудовую деятельность даже в субботу. Это значит, что на территории России (для территориально распределенных заказчиков) должны быть организованы склады с оборудованием на замену; в стране должно быть несколько авторизованных учебных центров; производитель должен иметь экспертизу в области соответствия своей продукции требованиям российской нормативной базы.

Игорь
Алексеев

Директор по развитию компании“А-Реал Консалтинг", к.ф.-м.н.

1. На мой взгляд, основным драйвером развития функциональности МЭ является тесная интеграция с основными сервисами в сети, важными приложениями и системами управления, то есть превращение МЭ из отдельного устройства в компонент сервис-интегрированной инфраструктуры сети. Особенно это важно с точки зрения автоматизации и верификации настроек, связанных с приложениями и сервисами для максимальной их автоматизации, упрощения и избегания конфликтов, которые могут привести к компрометации сетевой защиты.

2. Для рынка России отличительной особенностью является наличие наших специфических регуляторов – Минкомсвязи, ФСТЭК, ФСБ – со сложным набором различных требований и руководящих документов. То есть это такая "вещь в себе", разобраться в которой, пожалуй, даже сложнее, чем технически корректно применить МЭ в своей сети.

3. Проблемы адаптации как раз связаны с основными драйверами развития: с интеграцией систем МЭ и различных прикладных систем, используемых в сети. Кроме того, важным аспектом являются вопросы взаимодействия МЭ и других средств обеспечения безопасности.

4. Заказчикам необходимо прежде всего думать о том, как то или иное решение может быть интегрировано в сеть, рассматривая все прикладные системы и перспективные задачи, которые могут появиться. Нужно выбирать наиболее интегрированную систему с максимально четким интерфейсом управления.

Кирилл
Прямов

Менеджер по маркетингу ООО“АльтЭль"

1. Можно выделить две основные группы драйверов: эволюция угроз и применение новых технологий (облака, виртуализация, BYOD, SDN, переход на IPv6). Особенно стоит отметить размытие периметра из-за распространения мобильных устройств, что требует от производителей МЭ реализации новых функций: аутентификации пользователя, обеспечения политик доступа, а также организации безопасных удаленных соединений (с помощью шифрования).

2. Главной особенностью российского рынка МЭ является особенно сильное влияние регуляторов, что привело к четкому разделению МЭ на две основные группы: сертифицированные и несертифицированные. В проектах, где обрабатывается информация уровня "совершенно секретно" и "особо важно", используется только сертифицированное российское оборудование. В результате значительная часть российского рынка закрыта для всех иностранных вендоров и большинства российских игроков. Такая ситуация ограничивает конкуренцию, поэтому у многих разработчиков отсутствуют стимулы освещать свою деятельность и постоянно развивать свои продукты. В результате российские решения в подавляющем большинстве случаев значительно уступают иностранным аналогам, функции UTM реализованы только в нескольких российских продуктах, а сам рынок очень трудно оценить как в количественном, так и в денежном выражении.

3. Основная проблема всех МЭ – догоняющий характер их развития. В результате постоянно существует опасность того, что МЭ не смогут защитить организацию от новых видов угроз, будь то APT, zero-day или брешь в периметре из-за появления новых технологий. Если говорить про российский рынок, к этим проблемам можно добавить его инертность и закрытость. В результате функции фильтрации трафика на уровне приложений реализованы только у нескольких российских разработчиков, в то время как подавляющее большинство вендоров избрало для себя нишу сертифицированных криптошлюзов (FW/VPN), хотя в развитых странах этот сегмент постоянно сокращается, уже более чем вдвое уступая сегменту UTM-устройств по объемам продаж.

4. В первую очередь необходимо четко определить характеристики собственной сети и каналов связи, такие как географический охват, количество устройств, подключенных к сети, пропускную способность каналов связи, состав трафика и др. Затем нужно подробно оценить разработчика и предлагаемое им решение: включая уровень технической поддержки и возможности МЭ (наличие функциональности UTM, производительность и т.д.). Очень полезно получить отзывы от других пользователей и взять оборудование на тестирование. И конечно, не стоит забывать о сертификатах.