Путь к NGFW

Путь к NGFW

Течёт река жизни… Если оглянуться назад, в 90-х годах, когда в России только утверждался интернет, сетевая безопасность развивалась исходя из появляющихся у компаний задач. Постепенно развивались функции маршрутизации, стали появляться лидеры рынка, придумывающие свои протоколы, которые потом брались всеми как стандарт. Потом умерли протоколы IPS/SPX и вышел на смену TCP/IP. Умерли физические подключения через коаксиальный кабель, и появились подключения через коммутаторы по витой паре...

Появление прокси-серверов

Сначала скорости каналов были небольшие, и первым сетевым устройством стал кеш-сервер, который скачивал популярные страницы и отдавал клиентам по запросу.

Затем появились задачи по подтверждению, что сайт тот самый, поэтому появился протокол SSL, который отдавал сертификат сервера, подписанный доверенным центром, и можно было проверить, что это тот самый microsoft.com, а не подменённый.

Потом появились задачи контролировать посещаемые категории сайтов. И появились первые движки, умеющие автоматически понимать категорию сайта и делать базу категорий, которую затем можно было использовать на своём прокси-сервере. И задача кеширования сайтов дополнилась задачей URL-фильтрации.

В процессе также выяснилось, что на сайтах бывает вредоносный код и эксплойты, и пришлось на прокси-серверах расшифровывать HTTPS-трафик и проверять антивирусами файлы, скачиваемые сотрудниками.

Появление stateful inspection и ALG

Затем появились функции сегментации сетей, первые пакетные фильтры и межсетевые экраны, позволявшие навести порядок между сегментами с разными политиками безопасности. Межсетевые экраны начали проверять заголовки пакетов в протоколах TCP, UDP, ICMP и принимали решение пускать только по разрешённым спискам адресов, портов и сервисов.

Чтобы было удобнее писать правила, придумали stateful inspection, в котором для направленного от клиента к серверу пакета автоматически разрешались ответные пакеты. Выяснилось, что удобные для передачи данных и видео протоколы, такие как FTP или SIP, плохо работают через NAT, и стали появляться первые анализаторы приложений под названием Application Layer Gateway (ALG). Они меняли команды на уровне приложений, чтобы протокол работал через межсетевой экран. Например, параметры команды PORT в FTP. Да-да, уже тогда появлялись модули анализа приложений.

Появление IPS

В какой-то момент появились задачи обнаружения атак в сетевом трафике и первые системы обнаружения и предотвращения атак Intrustion Detection Systems (IDS) и Intrusion Prevention Systems (IPS).

Появились проблемы производительности. Выяснилось, что чем больше сигнатур проверяют трафик, тем больше нужно времени процессора на каждое сетевое подключение, и, соответственно, не на все подключения процессора стало хватать. Что делать?

Компания Internet Security Systems делает ход конём — создаёт модуль анализа приложений Protocol Analysis Module (PAM). Сначала он определяет, что за приложение генерирует трафик, и только потом проверяет в нём нужные сигнатуры, это ускоряет анализ.

Компании Tipping Point пришла идея использовать аппаратные ускорители, и появились первые аппаратные IPS с ускорителями.

Появление программно-аппаратных межсетевых экранов

Кстати, в 2000 году сменилась важная мировая парадигма: появились программно-аппаратные комплексы (ПАК) для защиты сети, внутри которых крутилась собственная ОС, и заказчики перестали сами инсталлировать системы защиты и системы управления к ним. Рынок достаточно долго привыкал к покупке ПАК вместо софта. Часть заказчиков до сих пор почему-то очень любит скачать дистрибутив и ставить его самостоятельно. Для таких любителей были придуманы virtual appliance.По сути, это софт, который можно запустить под гипервизором.

В итоге в какой-то момент в компаниях требовалось уже несколько устройств для защиты сети:

• прокси-сервер c URL-фильтрацией и антивирусом;
• антиспам;
• VPN-шлюз для удалённого доступа администраторов;
• VPN-шлюз для объединения филиалов,
• межсетевой экран;
• IDS или IPS;
• сканеры безопасности;
• нужное число систем управления всем этим!

И операторы переключались между консолями, чтобы понимать, что происходит в сети.

Как решение проблемы выступили устройства класса SIEM, в которые можно было отправить ещё и события с рабочих станций и серверов.

Появление устройств UTM класса «всё в одном»

Следующим этапом на рынке стало появление многофункциональных устройств, где все функции были реализованы одновременно, а управление было единым для всего.

Это было экстремально удобно: можно в одной консоли увидеть события и межсетевого экрана, и IPS, и URL-фильтра, и других систем. Такие устройства назвали Unified Threat Management (UTM), что подчёркивало их ценность — единую консоль управления.

И снова появилась проблема производительности. Выяснилось, что имеющиеся серверы не могли на высоких скоростях выполнять все функции одновременно. Лидеры рынка придумывали всё новый и новый функционал, а включить его одновременно было невозможно. Что делать?

Появление NGFW

В 2007 году рынок взорвали устройства компании Palo Alto Networks. Компания решила сразу несколько проблем заказчиков:

• предоставила аппаратное устройство, где все функции можно было включить одновременно;
• решила проблему с визуализацией приложений на одном порту: по 443 и 80-му порту их ходят сотни разных;
• решила проблему с перемещением пользователей по разным IP-адресам: научились понимать, какой именно пользователь работает сейчас по данному IP-адресу;
• показали, что функционал GeoIP — хорошая штука;
• придумала, как писать правила по новым критериям: приложение, пользователь, страна;
• решила проблему с неизвестными вирусами в HTTP и FTP, предоставив сетевую песочницу в облаке;
• придумала цеплять профили безопасности к каждому правилу;
• реализовала сразу нужные сетевые функции.

Постепенно и другие компании реализовали этот функционал. Сегодня его называют Next-Generation Firewall (NGFW).

Постепенно мы привыкли к тому, что в одном устройстве находится всё: маршрутизация, VPN-шлюз, captive-portal, правила приложений и портов, IPS, URL-фильтр, инспекция SSL, антивирус, песочница, Threat Intelligence, инспекция приложений и туннелей, DLP.

При этом другая сетевая защита всё равно ещё работает на выделенных устройствах:

• Network Access Control (NAC);
• защита от DDoS;
• Web Application Firewall;
• Network Behavior and Anomaly Detecton;
• активные и пассивные cканеры безопасности.

Появление SASE и ZTNA

За это время NGFW стали развиваться в сторону Secure Access Service Edge (SASE), где уже NGFW предоставляется как сервис из облака. Более активно внедряли Zero Trust Network Access (ZTNA), где подключение по VPN не просто давало удалённый доступ, а ещё и клиент VPN проверял, что сам компьютер соответствует политике безопасности компании: там стоит нужный набор хостовой защиты — EDR, backup, DLP, обновления и нужные настройки. Всё активнее стали использовать SSL VPN, не требующий установки клиента. Также рынок стал пробовать использование технологии SD-WAN для балансировки работы сервисов между каналами на основе их качества.

Ещё одной новинкой стал рынок Digital Experience Monitoring (DEM), но в России это пока не успели опробовать.

Обрушение рынка NGFW в 2022 году

В 2022 году все поставщики такого оборудования прекратили свои подписки и Fortinet умудрился даже обвалить сервисы Ростелекома из-за остановки работы своих устройств на подписке.

Заказчики обнаружили, что им нужны российские аналоги. За два года с 2022 до 2024-й рынок российских NGFW прошёл большой путь. И сегодня в статьях этого журнала вы с ними познакомитесь.

Почему NGFW сделать сложно

Мне повезло самому участвовать в создании NGFW, и вот что я понял: тут недостаточно нанять программистов. Нужны сетевые инженеры, защищавшие сети. Только их понимание и опыт помогают аналитикам и программистам реализовать ровно те функции, которые нужны заказчикам.

Если посмотреть на историю компании Check Point, то она первооткрыватель, у неё было много гипотез, проб и ошибок. А когда ты делаешь продукт с нуля и точно знаешь, куда идёшь, то путь к результату получается понятным и быстрым. И ты точно попадаешь в потребности заказчиков. 

Вторая сила компании-разработчика — эксперты, создающие сигнатуры атак и приложений, собирающих индикаторы компрометации, URL-категории. Чем больше у них насмотренность в атаках, тем лучше продукт будет защищать сеть. А поскольку Россия сегодня самая атакуемая страна, то и опыт защиты у нас самый большой.

Так что я считаю, продукты, которые мы сегодня создаём в России, скоро будут востребованы во всём мире.

Конференция по сетевой безопасности 9 декабря 2024 года

В нашей стране нужна отдельная конференция по сетевой безопасности, где все поставщики одновременно делятся своими новинками. ИТ- и ИБ-службы сегодня должны быстро разобраться в имеющихся предложениях, и поэтому мы сделали платформу, где можно будет поделиться инновациями, услышать мнение рынка и показать свои продукты. Это не только NGFW, но и песочницы, антиспам, поведенческие системы NDR, WAF, VPN, Anti-DDOS, NAC, MFA, балансировщики, устройства для тестирования и так далее.

Приходите 9 декабря 2024 года в Сокольники!