Унифицированная модель миграции на российские межсетевые экраны

26 июля 2024 года 187-му федеральному закону «О безопасности критической информационной инфраструктуры Российской Федерации» исполнилось ровно 7 лет. Вряд ли 7 лет назад кто-то мог ожидать, насколько актуальными будут задачи федеральных законодателей того времени на сегодняшний день. Указами Президента Российской Федерации № 166 от 30.03.2022 г. и № 250 от 01.05.2022 г. закреплены жесткие сроки до 01 января 2025 г. по обязательному импортозамещению для объектов критической информационной структуры (КИИ) и государственных информационных систем (ГИС). 

В текущих реалиях, и особенно с учетом поджимающих сроков, все более актуальным становится обеспечение «бесшовной» замены зарубежных межсетевых экранов на российские для выстраивания устойчивой системы информационной безопасности. Последние несколько лет мы, как интегратор, часто сталкиваемся с весьма острыми вопросами обеспечения информационной безопасности от наших заказчиков. Обычно это проблемы изношенного оборудования, несоответствия инфраструктуры требованиям профильного законодательства или отсутствие технической поддержки со стороны ушедших вендоров.

Очевидно, что сегодня это должны быть отечественные решения, при выборе которых нужно прежде всего руководствоваться требованиями регуляторов, наличием необходимого уровня сервиса производителей, сертифицированных центров обучения, а также наличием ресурсов для оказания этой технической поддержки. Также важно отметить, что миграция решений, которые устанавливаются «в разрыв», всегда является сложным процессом и связана как минимум с двумя факторами: невозможностью симметричной миграции «один-в-один» и определенными административными и технологическими трениями. Сегодня такой процесс миграции не является чем-то новым и неожиданным: есть проработанные документы и регламенты, помогающие осуществлять замену, а также автоматизированные инструменты, которые позволяют переносить правила фильтрации траффика и политики заменяемых межсетевых экранов, наработанные заказчиками во время срока их эксплуатации, на отечественные аналоги.

На основе многочисленного опыта, как мне кажется, нам удалось нащупать некую «золотую середину», и создать унифицированную модель по миграции на отечественные аппаратные платформы, о которой я хотел бы рассказать далее. 

Разберем на конкретном примере ниже.

Вводные:

1. Заказчик: допустим некий коммерческий банк, который нуждается в замене импортных межсетевых экранов.
2. Решение: одна из отечественных платформ Next Generation Firewall (NGFW) от российского разработчика средств сетевой безопасности и защиты информации. Многофункциональный межсетевой экран нового поколения, обеспечивающий контроль сетевых приложений, URL-фильтрацию, построение VPN ГОСТ каналов, потоковый антивирус, модуль для IPS, а также систему обнаружения вторжений. 

Процедуру перехода (миграции) можно условно разделить на 6 последовательных этапов:

На 1 этапе настраиваем и интегрируем новый межсетевой экран в существующую сеть и выстраиваем работу параллельно с заменяемым оборудованием. 

На 2 этапе переводим тестовые сегменты путем запуска трафика через отечественную платформу. Таким образом, оба межсетевых экрана — старый и новый работают параллельно. 

На 3 этапе с помощью автоматизированных утилит и скриптов, экспортируются конфигурации и политики с импортных межсетевых экранов в новое оборудование. Такая процедура делается с помощью удобной автоматизированной утилиты: для этого выгружаются файлы конфигурации из заменяемого сетевого экрана любого импортного производителя, далее эти файлы преобразовываются в формат нового оборудования, и уже после этого мы импортируем их непосредственно в межсетевой экран отечественного производства.

На 4-м и 5-м этапах дважды проверяем корректность и работоспособность доступа к используемым ресурсам, причем на два этапа эти проверки разделены не случайно. Очень важно пройти все процедуры несколько раз и убедиться в полной достоверности и безопасности данных.

На последнем 6-м этапе мы переходим в остальные сегменты и запускаем уже продуктивный траффик через новый NGFW, и уже в самом конце выводим из эксплуатации импортное оборудование. 

По опыту, это самая работоспособная и уже неоднократно опробованная нами схема, гарантирующая безболезненную и «бесшовную» миграцию даже на критически важной сетевой инфраструктуре. 

*Next Generation Firewall (NGFW) — англ., Межсетевой экран следующего поколения.