Журнал "Information Security/ Информационная безопасность" #6, 2023

• 45 NGFW www.itsec.ru Как быть с производительностью? Основная сложность, с который мы сталкиваемся, – это недостаток произво- дительности. При синтетической нагрузке все работает хорошо, но как только тести- рование проводится на больших реальных потоках данных, начинаются нюансы. Еще больше эффект снижения скоро- сти проявляется, когда мы начинаем включать модули, которые и делают обычный межсетевой экран L4 решением класса NGFW. Мы включаем IPS- и SSL- декодирование – скорость работы сни- жается в несколько раз, а иногда даже на порядок. Бывали даже случаи, когда NGFW самостоятельно отключал старые пра- вила в IPS, чтобы поддерживать уровень производительности. Но уязвимости же никуда не делись, и атаки начала 2000-х гг. по-прежнему актуальны. Осо- бенно опасно, что администраторы не информировались о таких настройках. Для сравнения производительности доступны только те цифры, которые пре- доставляют сами вендоры. Иногда они составляют батл-карты, в которых у вендора А, который составил документ, показатели лучше, чем у вендора Б. Причем в батл- карте у вендора Б ситуация зеркальная: его показатели лучше. То есть ориентиро- ваться на такие сравнения сложно. Для объективного сравнения произво- дительности различных решений можно было бы ориентироваться на данные независимой лаборатории, которая бы тестировала продукты безопасности в режимах, приближенных к реальным, идентичным для всех исследуемых устройств. Но пока таких лабораторий мы не знаем. Александр Баринов, ГК "Солар": Для крупной органи- зации, которая годами копила свои правила, политики и сетевые настройки, миграция средств защиты с одного вендора на дру- гого является болезненным процессом, а иногда и долгим про- ектом. Мы предлагаем рассматривать процесс миграции как повод для того, чтобы разобраться в правилах и сетевом окру- жении, оптимизировать и актуализировать их. Наша команда внедрения оказывает всестороннюю поддержку, проводит оценку текущей ситуации и формирует пошаговый план по выстраиванию эффективных процессов миграции. Это позво- ляет правильно оценить и спланировать поэтапное внедрение продукта, исходя из задач и приоритетов конкретной компа- нии. Александр Вишняков, Смарт-Софт: Для того чтобы миграция прошла быстро и безболезненно, необходимо тща- тельно подготовиться к ней – проверить, выполняются ли тре- бования к оборудованию и программному обеспечению. Миг- рация с одного устройства на другое выполняется в несколько этапов, и большую часть из них придется выполнять вручную. Будьте особенно внимательны при изменении конфигурации порта управления. Павел Живов, Positive Technologies: Миграция – это важный аспект, который должен быть реализован максимально удобно для клиентов и системных интеграторов, например в виде сервиса с графическим интерфейсом. Однако нюансов все равно остается много, например именование приложений (у каждого производителя они свои), логика настройки (у кого- то политика, у кого-то профиль, у кого-то опция в правиле и т.п.). Однако самую тяжелую задачу – перенос сотен или тысяч правил и объектов такая утилита должно выполнять точно и наглядно. Игорь Алексеев, А-Реал Консалтинг: Полная автома- тизация переноса конфигурации с одного NGFW на другой сейчас невозможна, поскольку способы организации логики управления, общий набор функционала очень сильно разли- чаются. Отдельные вендоры делают инструменты для перевода большей части (но не всех) правил с какого-нибудь одного конкретного вендора на себя, но практика показывает, что после такого переноса требуется полная перепроверка. Игорь Абрамчук, Инфотактика: Большинство участни- ков российского рынка сетевой безопасности волнует вопрос переноса конфигурации на отечественные решения в рамках триады информационной безопасности. В нашем решении будут содержаться интеллектуальные алгоритмы миграции с различных NGFW на CoreBit.NGFW. Павел Мерещук, Гарда: Некоторые из производителей отечественных решений предлагают инструменты миграции конфигураций при переходе с западных решений. Мы пока не заявляем таких возможностей. У нас в приоритете реали- зация функций, которые обеспечат эффективную защиту объектов КИИ, а "украшать" будем позже. Однако это не означает, что мы бросаем своих заказчиков решать задачу самостоятельно. Экспертная команда "Гарда" проанализирует существующие конфигурации и сценарии каждого заказчика и подготовит требуемые данные при разработке проекта решения (HLD + LLD).