На что ориентироваться при выборе NGFW: опыт интегратора

С уходом из России западных вендоров для отечественных разработчиков в сфере информационной безопасности открылись отличные перспективы к тому, чтобы занять освободившиеся ниши, в том числе в сетевой безопасности.

Одним из самых востребованных направлений стал NGFW — современный межсетевой экран нового поколения, который выступает мощным внешним щитом, защищающим периметр организации от многих киберугроз.

NGFW объединяет функции традиционного межсетевого экрана с расширенными возможностями безопасности. Если говорить совсем просто, то это «разноуровневая молотилка» трафика, поступающего в компанию, его политики проверяют легитимность трафика и определяют, пропускать тот или иной входящий трафик дальше или нет. Вместе с тем, это комплексный инструмент для контроля трафика, управления доступом пользователей и приложений, предотвращения атак.

Сейчас в России число разработок отечественных NGFW приближается к полусотни. И хотя выбирать есть из чего, разобраться в том, какие из них достойны внимания, довольно непросто, как и сделать окончательный выбор.

NGFW — непростой продукт для освоения. И отечественные NGFW, безусловно, отличаются от зарубежных аналогов. Вместе с тем, на нашем рынке уже сложился свой топ-5 наиболее зрелых решений NGFW, внедрение которых рассматривается в первую очередь большинством заказчиков. Правда, это не исключает возможности пилотирования и других интересных разработок.

В этой колонке разберу, что стоит обязательно учесть при выборе отечественного NGFW и чем вам будет полезно участие в проекте по его импортозамещению системного интегратора.

Доступность тестирования

Минимальный функционал NGFW (базовую фильтрацию) исполняют практически все отечественные решения. Но во всем есть нюансы. Разобраться с ними, грамотно все настроить помогут профильные специалисты еще на этапе проведения пилотных проектов, которые для компании (потенциального заказчика), как правило, ничего не стоят, поскольку системный интегратор такие пилоты проводит для них бесплатно.

В ходе таких тестирований специалисты системного интегратора помогут:

• подобрать действительно оптимальное решение, которое наилучшим образом будет подходить под вашу инфраструктуру.
• определить корректный сценарий миграции, учесть объем входящего трафика, производительность,
• грамотно все настроить, свести политики и т. д.

От оценки рисков до пилота

Процесс выбора лучшего, а значит, оптимально подходящего под инфраструктуру отечественного NGFW, начинается с аудита, который позволит получить ответы на следующие вопросы.

1. Какой уже есть объем входящего трафика и каким будет в перспективе: трафик может повышаться год от года в среднем на 30 %, а жить с новым решением вам не один год. Также смотрим, какие политики имеются у прежнего NGFW, на замену которому подбирается новое решение.

Среди отечественных NGFW уже есть довольно производительные, в которых трафик обрабатывается на высоких скоростях (до 200 Гб) без задержек, и до 13 Гб на всех уровнях сети OSI.

2. Наличие у NGFW сертификации ФСТЭК России и включение в российские реестры.

Субъектам КИИ, государственным организациям будет важна сертификация ФСТЭК у NGFW. Как и тот факт, что отобранный NGFW включен в нужные реестры. Поскольку, как правило, при поставке NGFW в компанию железо и лицензии к нему идут отдельно друг от друга, то, соответственно, они должны быть включены в Реестр Минпромторга ЕРРП и Реестр отечественного ПО.

На сегодня субъектам КИИ предписывается использовать исключительно отечественное ПО, если имеется российский аналог. Перейти к 2027 году на российские решения также должны будут госкомпании, организации, осуществляющие закупки по 44-ФЗ и 223-ФЗ, а к 2030 году и госорганы.

Ключевые критерии оптимального решения

В этом году на нашей партнерской конференции FIS один из круглых столов как раз был посвящен выбору лучшего отечественного NGFW. Тогда участники дискуссии (руководители подразделений ИТ и ИБ крупных компаний) в числе важных для себя характеристик назвали:

• стабильность, отказоустойчивость работы NGFW,
• достаточный функционал (а именно реализация заявленных функций),
• наличие перспективы у таких решений
• удобный интерфейс управления.

К сказанному добавлю, что пока еще бесшовно перейти не отечественный NGFW вряд ли получится, потому важно понимать, какую техническую поддержку получаете у вендора: вам нужна такая, которая способна быстро решать возникающие вопросы. Техподдержка поможет с миграцией на новое решение. У наших вендоров есть политики миграции, у некоторых NGFW есть и сама функция миграции, важно ее только правильно выстроить.

Безусловно, надо учитывать перспективы разработки: понятный Road Map и знание того, когда закроются важные для вас задачи.

Определившись с этими и другими важными для вас критериями (от производительности до понятной политики управления NGFW и нужных интеграций с СЗИ), можно начинать подбирать решения, которое подойдут под заданные параметры. Их сравнительный анализ, в котором будут учеты важные для вас плюсы и минусы, выявит лидеров этого рейтинга, с которыми стоит проводить пилоты.

Плюсы перехода на отечественное

NGFW — один из критичных объектов, который обязательно должен стоять в контуре компании. Но учитывая, что западное ПО у нас не обновляется, остается без техподдержки, откладывать импортозамещение NGFW, понимая реальную ситуацию с ростом и усложнением кибератак, ужесточением требований регуляторов, уже вряд ли стоит. У нас в стране активно развивается свое производство NGFW и отставание от зарубежных аналогов с каждым годом существенно сокращается.

И потом, нельзя не учитывать, что заменять такие высоконагруженные системы как NGFW рекомендуется каждый 3-5 лет, чтобы исключить его выход из строя. 

Только за последние 3,5 года мы провели большое количество пилотных проектов по NGFW, хорошо знаем рынок этих решений. Так что, если вы еще не импортозаместили NGFW, рекомендуем сформулировать свои критерии к отечественному решению и начинать проводить пилоты, поскольку только пилотное тестирование покажет, что подходит именно вам.