Журнал "Information Security/ Информационная безопасность" #1, 2023

Не секрет, что тесты проводятся при всех включенных модулях, но в них, как правило, оставлено только по одному правилу, то есть одно правило файрвола, одно правило контроля приложений, одно правило контентной фильтрации, одна сигнатура системы предотвраще- ния вторжений. А в режиме работы всех модулей фильтрации и на трафике Enterprise Mix производительность уже снижается до 13 Гбит/с. Но и эта цифра не очень при- менима на практике, ведь в реальности у заказчика будет микс-трафик не из иностранных, а из российских приложе- ний, да правил в каждом модуле будет явно не по одному. Очевиден вывод, что лучше делать пилотные проекты и измерять произво- дительность на реальном трафике. "Айдеко", к слову, тоже указывает показатели производительности, но на микс-трафике, адаптированном для рос- сийских приложений, при нескольких десятках правил межсетевого экрана и контент-фильтрации, а также при более 16 тыс. включенных сигнатур предотвра- щения вторжений. Поэтому, к примеру, для аппаратного шлюза Ideco MX ука- зывается производительность чуть боль- ше 1 Гбит/с – но реальная! – и почти 2 Гбит/с для шлюза Ideco LX в режиме полной проверки трафика. Конечно же, в аспекте производи- тельности все отечественные решения достаточно сильно отстают от зарубеж- ных. Это большой вызов для российских разработчиков, в том числе и для "Айде- ко". В одном из недавних проектов Ideco UTM работал с больше чем с 100 тыс. правил файрвола. Практически ни одно российское решение не выдерживает такого количества правил. Да и Ideco UTM смог работать в этих условиях только с дополнительными модулями, которые пока отсутствуют в релизе, но скоро там появятся. Улучшение про- изводительности заказчики почувствуют, даже если у них 100 правил, а не 100 тыс. Текущая цель "Айдеко" – достичь пока- зателя 10–11 Гбит/с в Ideco UTM 16, который планируется представить летом 2023 г. Архитектура российских NGFW Отечественные вендоры используют разные архитектуры NGFW, но практи- чески все используют Linux как базовую операционную систему. К слову, Ideco UTM – возможно, единственное из рос- сийских решений, всегда использующее самую последнюю версию ядра Linux. Это позволяет, во-первых, поддерживать все современное оборудование, а во- вторых, использовать самые последние возможности оптимизации скорости обработки трафика. Сейчас "Айдеко" использует и модули Open Source, и свои модули обработки трафика, но к шестнадцатой версии практически вся обработка трафика будет собственная. Кроме того, "Айдеко" использует мик- росервисную архитектуру, в отличие от монолитных архитектур у других вендо- ров. Это позволяет выигрывать как в скорости разработки, так и в ее надеж- ности: сбой в каком-либо модуле обра- ботки трафика не приводит к переза- грузке сервера, сбою в памяти или оста- новке ядра. С помощью технологий DPDK и VPP трафик извлекается в пользовательское пространство и обрабатывается там, а не на уровне ядра, как делают другие российские решения. Это дает допол- нительный выигрыш в скорости обра- ботки и надежности, поскольку возни- кающие ошибки не приводят к краху всей системы, а лишь к перезапуску соответствующего модуля. А вот ошибка в модуле обработки на уровне ядра, как правило, лечится только перезагрузкой всего сервера. Железо или софт? Часть российских разработчиков NGFW делает ставку на программно- аппаратные комплексы, добавляя желез- ные ускорители обработки трафика, дру- гая – только на программные решения. "Айдеко" выбрал путь программного раз- вития, добиваясь очень быстрой обра- ботки трафика на процессорах общего назначения без использования специ- альных аппаратных ускорителей. Безопасность межсетевых экранов нового поколения Практически все вендоры используют Open Source: любое современное реше- ние немыслимо без использования фреймворков и модулей чужой разра- ботки. Поскольку непосредственные соз- датели открытых модулей не всегда готовы гаранти- ровать безопасность, эта ответственность ложится на вендоров, которые их используют. 1. Безопасность решения в России подтверждается сертификатом ФСТЭК по уровням доверия, что означает, что внедрены и работают процессы без- опасной разработки. 2. Для всех модулей, включая, конечно же, и Open Source, должно проводиться фаззинг-тестирование. 3. Должны непрерывно использоваться статические анализаторы кода, то есть в сборку продукта не может попасть код, не прошедший статический ана- лиз. 4. Следует использовать сканеры уязвимостей. Например, Ideco UTM, прежде чем попасть к заказчику, проходит девяти- уровневую проверку, и это отличает его от, скажем, любых решений Open Source. Есть ряд принципиальных отличий Ideco UTM от других решений: мы пре- доставляем решение с предустановлен- ными правилами фильтрации в модулях, защищающих вас сразу "из коробки". Заключение Посмотрим правде в глаза: перехо- дить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на рос- сийский автомобиль, некоторые из которых с прошлого века выпускаются с конвейера практически в неизменном виде. Так быть не должно, и россий- ским решениям предстоит пройти дол- гий и сложный путь. И этот путь нужно будет пройти вместе с заказчиками, максимально концентрируясь на наи- более важных аспектах. Мы в "Айдеко" приветствуем приход на рынок NGFW новых игроков, потому что именно кон- куренция и позволяет двигаться впе- ред! l • 39 ЗАЩИТА СЕТЕЙ www.itsec.ru Мы в "Айдеко" считаем привязку к конкретному железу тупиковым путем. Тренд на переход с аппаратных на чисто программные решения наблюдается и у зарубежных вендоров: к примеру, в старших моделях PaloAlto и Fotinet уже не используются аппаратные ускорители. Это позволяет использовать NGFW, например, на гипервизорах, в том числе отечественных, мигрировать с одного железа на другое, а в будущем – и в облака. АДРЕСА И ТЕЛЕФОНЫ компании "Айдеко" см. стр. 48 NM Реклама