Журнал "Information Security/ Информационная безопасность" #1, 2023

Главное, чего, по мнению заказчиков, не хватает в отечественных NGFW: 1. Достаточная производительность. 2. Функциональность Enterprise-уровня и интеграция с другими сервисами. 3. Развитый агент для реализации концепции Zero Trust. 4. Высокий уровень устойчивости решения. 5. Развитая экосистема. У крупных западных вендоров информационной безопасности межсетевой экран нового поколения – часть большой экосистемы. Это позволяет использовать все ее ком- поненты максимально просто и эффек- тивно. В России экосистемы у вендоров развиты существенно меньше, в том числе и у вендоров NGFW. 6. Собственно уровень защиты, то есть то, как межсетевой экран нового поколения защищает от современных угроз безопасности. Российский рынок NGFW Количество разработчиков NGFW в России заметно меньше, чем на между- народном рынке. Кто же представлен на рынке межсетевых экранов нового поколения в России? Компания IBS Plat- formix определила в исследовании свою четверку лидеров: "Код безопасности", UserGate, "ИнфоТеКС" и "Айдеко". На рынке представлены и другие вендоры NGFW с историей, но есть и новые игро- ки, которые либо презентовали решение в 2022 г., либо анонсировали его выход в ближайшие два-три года. Самые мощные компании из числа новых игроков – пожалуй, Positive Tech- nologies и "Лаборатория Касперского". Positive Technologies однозначно заявляет, что у них будет межсетевой экран нового поколения. Возможно, уже есть пилоты, а в 2023 г. или чуть позже стоит ожидать релиз. Слухи на рынке утверждают, что "Лаборатория Касперского" также раз- рабатывала NGFW некоторое время назад, но пока каких-либо официальных подтверждений этому нет. Хотя очевид- но, что в экосистеме продуктов "Лабо- ратории Касперского" межсетевой экран нового поколения смотрелся бы более чем органично. В 2011 г. Sophos, круп- нейший антивирусный вендор, купил развивающую NGFW-решения компанию Astara, в результате чего быстро ворвал- ся в число лидеров квадранта Gartner в сетевой безопасности. "Инфовотч", производитель DLP-реше- ний и промышленных файрволов, также заявляет о наличии межсетевого экрана нового поколения (на основе OpnSense) и планов по его продвижению на рынке. Росатом стал новым игроком в сег- менте NGFW после приобретения доли (50%) в компании "Код Безопасности". Компания "Ростелеком", производи- тель ИБ-решений, крупнейший провай- дер и интегратор, тоже заявляет об интересе к рынку межсетевых экранов нового поколения. Интерес игроков понятен. Согласно исследованию одной из аналитических компаний, весь рынок кибербезопасно- сти России в 2021 г. оценивался в 185,9 млрд руб. 1 , сегмент NGFW составлял чуть меньше половины. При- чем для межсетевых экранов нового поколения доля зарубежных решений в Enterprise-сегменте превышала 50%. Рынок развивается и к 2026 г., по оценкам, достигнет 469 млрд руб. 1 После ухода зарубежных производителей сег- мент межсетевых экранов нового поко- ления на этом огромном рынке для мно- гих отечественных ИБ-вендоров стано- вится крайне интересен. UTM или NGFW? Что же такое UTM и что такое NGFW? Исторические различия между этими классами решений были связаны со способом обработки трафика. В архитектуре UTM трафик последо- вательно обрабатывался разными моду- лями. Вначале он поступал в межсетевой экран, потом в модуль предотвращения вторжений, потом в URL-фильтр и т.д. При таком подходе часто возникали проблемы с производительностью из-за того, что модуль URL-фильтрации рас- полагался в пользовательском простран- стве ОС, а межсетевой экран и антиви- рус работали на уровне ядра. Из-за постоянного перемещения пакетов между уровнями при большом объеме трафика последовательная обработка занимала достаточно приличное время. Межсетевые экраны нового поколения NGFW применяют параллельную обра- ботку трафика сразу всеми модулями. Сейчас практически все разработчики шлюзов безопасности пришли именно к схеме работы NGFW. В известных квадрантах Gartner и For- rester вместо терминов UTM и NGFW давно используются обозначения "сете- вой файрвол" или "Enterprise-файрвол". Различий между этими классами реше- ний уже никто не видит, все это теперь универсальные шлюзы безопасности. Впрочем, продукты разных производи- телей еще по инерции называются у кого-то UTM, у кого-то NGFW, а у кого- то просто файрвол. Выбор на основе показателей производительности плох Как уже отмечалось, отечественным NGFW не хватает производительности, особенно для применения в дата-центрах и фильтрации трафика на уровне про- вайдеров. Но при оценке и сравнении производительности по данным вендо- ров, а не в реальных условиях, у заказ- чиков возникают заметные сложности. Например, по данным вендора Forti- gate, модель 3960E показывает 620 Гбит/с на больших UDP-пакетах 2 . Но разве эта цифра поможет выбрать модель для реального использования? 38 • ТЕХНОЛОГИИ Технологический обзор российского рынка NGFW сновная проблема, с которой столкнулись руководители отделов информационной безопасности в 2022 г., заключается в вынужденном отказе от мощных иностранных решений NGFW Enterprise-уровня, представленных в известных квадрантах Gartner и Forrester, куда ни одно российское решение не попадало даже в лучшие годы. О Дмитрий Хомутов, директор компании “Айдеко” 1 https://tass.ru/ekonomika/16791733 2 https://www.csr.ru/upload/iblock/13f/ufleu9rg5zc3ldu66srqt3a89j0mrve5.pdf