Сегодня порядка 50 российских компаний занимаются разработкой межсетевых экранов нового поколения. Многие ли дойдут до финиша и каким требованиям заказчиков должен удовлетворять NGFW? На вопросы BIS Journal отвечает Иван Чернов.
— На прошедшем в сентябре BIS Summit 2024 заместитель директора ФСТЭК России В. Лютиков заявил, что в стране порядка 50 компаний занимаются разработкой межсетевых экранов нового поколения (NGFW), но до конца года будут сертифицированы продукты только двух вендоров. Как вы оцениваете ситуацию на столь конкурентном рынке?
— Если посмотреть на историю российской сетевой безопасности, то до 2022 г. на рынке было всего три отечественных игрока, один из которых UserGate. Зарубежные производители фактически монополизировали этот рынок, но с их уходом российские компании, так или иначе связанные с ИБ, оживились и решили занять образовавшуюся нишу. В результате появилось множество производителей NGFW. Существенно больше, чем сейчас необходимо рынку. Это переходный этап, который нужно пройти.
Безусловно, рынка NGFW не хватит на всех игроков, и многим придется уйти. К тому же NGFW — технологически один из самых сложных продуктов в кибербезе, его нельзя выпустить за год или два. Требуются RnD-проекты, разработка, тестирование, исправление ошибок — огромное число итераций. Нужно пройти долгий путь, чтобы получить зрелый продукт.
Раньше мы соревновались с западными конкурентами, продававшими решения по всему миру и имевшими огромную инсталляционную базу. Количество реализованных ими проектов было кратно больше, чем весь российский рынок. А это значит, что их опыт в создании и усовершенствовании своих продуктов на основании полученной от заказчиков обратной связи был значительно больше. Для российских производителей доступ к пулу заказчиков открылся после 2022 г. К этом моменту мы уже прошли длинный путь: разработали целую линейку продуктов на основе собственной операционной системы UG OS, наладили собственное производство на территории России, сотрудничали с большинством системных интеграторов и имели в своем пуле ряд крупных заказчиков. Мы занимали свою долю рынка и успешно конкурировали с глобальными вендорами.
В ситуации, когда западные производители спешно покинули Россию, оставив своих заказчиков без обновлений и техподдержки, мы были одними из немногих, кто смог принять этот вызов. Нагрузка была колоссальная. Но это был и очень большой опыт, который способствовал нашему стремительному росту как в технологическом плане, так и в плане работы с заказчиками, понимания их нужд и потребностей. Он не прошел даром. За последние два года мы проделали огромную работу, вывели наши продукты на новый уровень качества.
Сейчас вместе с новыми российскими продуктами появились и новые «Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети», разработанные при участии представителей отрасли кибербеза и утвержденные приказом ФСТЭК России. Этот документ — усредненное видение отрасли состава NGFW.
Два производителя NGFW уже проходят сертификацию на соответствие требованиям, другие вендоры готовят документы. Вскоре появится несколько сертифицированных решений. Вместе с ними сформулируются и требования по использованию многофункциональных межсетевых экранов (ММЭ).
Несертифицированный продукт также может решать задачи пользователей, которым нужна только часть функций устройства. Но получить сертификат ФСТЭК, в конечном итоге, будет необходимо.
— С 1 января 2025 г. вступают в силу действия закона по импортозамещению, и заказчики ринутся покупать сертифицированные устройства. Сколько времени уйдет на замену оборудования с учётом миграции на отечественные решения?
— Те, кто начнут заниматься этим после вступления закона в силу, уже не успеют — процесс перехода долгий. В законе прописаны требования не использовать устройства из недружественных стран, а на рынке есть достаточно сертифицированных сетевых экранов, систем обнаружения вторжения и иных решений, которые входят в реестр ФСТЭК России и уже сейчас могут прийти на замену иностранным.
— Давайте посмотрим на рынок глазами потребителя, у которого всё работает, но обстоятельства требуют смены оборудования. И он стоит перед выбором нового решения, не понимая, с чего начать.
— Посмотрим на вопрос шире, с т. з. требований Указов №166, 250 в редакции 2024 г. и проблем импортозамещения. За 2022-2023 гг. в процессе работы над более чем 5 тыс. проектов мы выработали наиболее безболезненный процесс миграции. Знаем проблемы заказчиков, оставшихся без поддержки вендоров, и можем им помочь. Это сильно упрощает жизнь действующим и потенциальным клиентам.
По опыту, заказчика интересует широта функционала, совместимость с имеющимся оборудованием — построенная ранее ИТ-инфраструктура должна работать. ИБ — это производная функция от ИТ, а ИТ — производная от бизнеса. В процессе импортозамещения заказчику важна непрерывность основного бизнес-процесса без потери функционала.
Следующий вопрос — реальная защита, идет исследование функций защиты. После встает вопрос миграции. Это особенно важно в крупных компаниях, где в подразделениях стоят разнообразные устройства, а для миграции нужны руки и ресурсы.
Не все отечественные вендоры имеют большой опыт реализации таких проектов, а заказчик ищет надёжных технологических партнеров, которые умеют работать с новым оборудованием и правильно мигрировать, имеют инструментарий по переносу политик, что помогает облегчить процесс перехода.
Важно окружение вендора: авторизованные партнёры, техническая документация и учебные материалы, потому что вслед за миграцией идет процесс эксплуатации. Многие российские специалисты, имеющие сертификаты иностранных производителей, переживают определённый стресс, когда сталкиваются с новыми устройствами. И курсы подготовки по работе с оборудованием — большой плюс вендора.
Эти четыре шага помогают успешно провести импортозамещение. И выбор поставщика NGFW у заказчика существенно сужается при переходе в практическую плоскость.
— Импортозамещение происходит не только в кибербезе, но и в ИТ-инфраструктуре. Как вы учитываете этот момент при работе с заказчиком?
— Замещение ИТ-ландшафта бросает вызовы. Порой, приходя к заказчику, мы узнаем об отказе от Microsoft — нужны версии под российский Linux, вместо AD требуется FreeIPA. Это нормально и привычно. В силу такой специфики можно сказать, что российские вендоры NGFW сильнее зарубежных, поскольку умеют работать и с 1С, и с Astra Linux, и с CISCO. Раньше мы разрабатывали вспомогательные инструменты для NGFW и планировали, в первую очередь, выпустить версию на Windows, сейчас начинаем с релиза под Astra Linux.
Еще один аспект совместимости — одновременная работа старой и новой инфраструктуры при последовательном импортозамещении в рамках большой компании. Физически невозможно одномоментно поменять все старое оборудование, в процессе миграции важно поддерживать совместимость с ним. Поэтому перед стартом следует детально обсудить все нюансы.
Исходя из опыта работы с большим количеством проектов, мы добавляли инструменты, которые позволяют реализовывать ряд функций, например создание защищённых тоннелей. Раньше их конфигурировали буквально тремя настройками. Сейчас настроек много, что позволяет гибко реализовывать такие связи.
— Какие функции безопасности должен реализовать «правильный» ММЭ?
— Джентльменский набор NGFW — это краткий список функциональностей, который выстраивает базовый уровень защиты и позволяет защитить от массовых потенциальных атак:
Но NGFW не является панацеей в ландшафте угроз. Это базовое средство защиты, но для борьбы с целевыми атаками одного NGFW недостаточно.
— Панели управления российских решений отличаются от иностранных, что часто вызывает неприязнь пользователей. Учитывают ли это вендоры и пытаются ли сохранить привычный многим интерфейс?
— Сила привычки — мощный фактор, недовольство возникает даже при переходе с оборудования одного западного вендора на другое. Когда люди переходят на новые решения под влиянием внешних факторов, они хотят, чтобы было как раньше. Но такого больше не будет.
Мы считаем, что нужно учиться, и специалисты понимают ценность образования. UserGate подготовил систему курсов и сертификаций, чтобы облегчить переход к новой архитектуре устройства и другой системе управления.
Мы также собираем обратную связь и, при необходимости, редактируем пункты меню.
— На презентациях вендоры NGFW делают ставку на высокую производительность. Важна ли она для небольших компаний?
— Производительность редко является ключевым критерием для небольших компаний. Если посмотреть по срезу используемых каналов, то средняя производительность — на уровне 1 Гбит/сек. Запредельные скорости нужны единицам, например, банкам и телекоммуникационным компаниям федерального уровня. У малого бизнеса таких потребностей нет.
Битва за производительность — состязание инженерных потенциалов и борьба за крупных заказчиков. Последние требуют максимум скорости и приносят больше всего денег, поэтому обеспечивать высокую производительность для них необходимо, но не для массового потребителя.
— Если мы затронули вопрос денег, то на BIS Summit 2024 регуляторы говорили о высокой стоимости отечественных решений, а представители сообщества утверждали, что рост цен выше уровня инфляции…
— То, что мы наблюдаем по своим продуктам, — это действительно история про перекрытие уровня инфляции и стоимости зарубежных комплектующих, которые покупаются за валюту по курсу.
Как человек, отвечающий в т. ч. и за ценообразование в компании, подтверждаю: мы не проводим повышения стоимости по принципу «завтра будем продавать дороже». Проходит индексация, а мы вынуждены покупать комплектующие на рынке.
Жалобы регуляторам понятны. Компании годами выстраивали свои сети, финансируя работы частями. Сегодня в короткие сроки нужно поменять все. Цена складывается из множества факторов, средства нужно выложить сразу, это психологически некомфортно. По сравнению с западными решениями у российских есть точки роста. В совокупности это вызывает недовольство. Но многие при выборе российского вендора выбирают партнера на долгосрочную перспективу, чтобы инвестиции себя оправдали.
— Отечественный рынок небольшой по объему и в принципе ограничен. Есть ли у российских решений перспектива выйти на международный рынок?
— Глобальный мир, к которому привыкли, изменился на два полумира: глобальный Юг и глобальный Запад. Мы оказались на глобальном Юге, и потенциальный рынок сбыта — это азиатские и африканские страны, Латинская Америка.
У нас есть проекты во всех этих регионах. Потенциал там высокий, и мы за него поборемся. Как минимум, это технологический вызов. Бренд «Сделано в России» только формируется, и мы в этом процессе участвуем.
Нас не ждут в США и Европе. Но даже глобальные американские корпорации с офисами по всему миру, в т. ч. в странах, оказавшихся под санкциями, лишаются поддержки своих поставщиков. И закупают наше оборудование во все филиалы, потому что боятся массовых отключений. Это прецедент доверия. Ситуация, когда производитель отключает средства защиты, — вопиющий случай в мировой истории. И иностранные компании приглядываются к вендорам, которые не бросают заказчиков в экстренной ситуации.
— В сентября компания UserGate представила новые версии ММЭ UserGate NGFW 7.1.2 и единого центра управления UserGate MC 7.1.2. Что нового появилось в этих решениях?
— Ключевой фокус в разработке — удовлетворение потребностей заказчиков с т. з. качества, стабильности и производительности. Мы расставили приоритеты и собираем обратную связь, исправляем недочёты и улучшаем производительность.
В ходе последнего обновления система обнаружения вторжения повысила скорость почти на 20%. Это хороший показатель улучшения производительности. Исправлено много недочётов, недоработок, багов.
В новом релизе мы добавили возможность обновления части библиотек на усмотрение пользователей. Это связано с оптимизацией для платформ младших моделей, которые менее технически оснащены и более доступны по ценам. Мы выяснили, что ряд библиотек редко используется заказчиками, но при этом создают нагрузку на устройства. Поэтому библиотеки, которые мы посчитали необязательными, поставили на загрузку по выбору потребителя. Мы сохраняем обязательства по наполнению этих библиотек. Часть библиотек, которые непосредственно влияют на безопасность, остались обязательными.
UserGate NGFW 7.1.2 входит в экосистему SUMMA. Мы являемся сторонниками открытой системы и изначально проектируем продукты с учетом совместимости. Есть централизованное управление и сбор событий, предусмотрена интеграция продуктов друг с другом. Ряд вспомогательных систем разрабатывают наши партнеры. Эти продукты встраиваются в экосистему SUMMA по открытому протоколу.
В будущих версиях мы готовим новую функциональность и дополнительные модули для использования. Но об этом мы расскажем позднее.
Беседовала Марина Бродская
Реклама. ООО «ЮЗЕРГЕЙТ», ИНН: 5408308256, Erid: 2VfnxxCaTkc
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных