Журнал "Information Security/ Информационная безопасность" #6, 2024

ниями. Например, IPSec для Site-to-Site VPN полностью отвечает требованиям стандарта, что позволяет объединять сети с оборудованием сторонних вендоров. На практике есть успешные кейсы, где Ideco интегрируется по VPN с решениями FortiGate, Check Point, Cisco, MikroTik и другими системами. Среди поддерживаемых ключевых отраслевых протоколов: l ICAP для взаимодействия с DLP- системами и внешними потоковыми антивирусами; l Syslog для интеграции с SIEM-систе- мами; l Radius для идентификации и аутенти- фикации пользователей. Важное удобство дает использование для IPS синтаксиса правил, совмести- мого с платформами Snort, Suricata и другими решениями, в том числе ком- мерческими. Разработчики реализовали возможность загрузки сторонних правил, что делает работу с системой пред- отвращения вторжений более гибкой и удобной для администраторов. Ideco NGFW поддерживает интеграцию с системами мониторинга, такими как SNMP и Zabbix, которые де-факто являются стандартами в сфере монито- ринга и управления сетевой инфраструк- турой. Подключение Client-to-Site поддержи- вает нативные VPN-протоколы, что поз- воляет и мобильным устройствам, и ста- ционарным рабочим станциям, в том числе и под управлением отечественных операционных систем, легко взаимо- действовать с Ideco NGFW. Вдобавок у Ideco NGFW есть открытый и документированный REST API, благо- даря которому можно адаптировать и настраивать решение под свои специ- фические задачи, автоматизировать про- цессы и расширять функциональность в рамках собственного ИТ-ландшафта. Аппаратные ускорители У российских разработчиков NGFW начинают появляться аппаратные уско- рители FPGA, ASIC. По мнению компании Ideco, использование аппаратных уско- рителей в сетевом стеке NGFW сегодня выглядит избыточным и неоправданным как с технической, так и с экономической точки зрения. Исторически разработка и использо- вание аппаратных ускорителей были обусловлены технологическими ограничениями примерно десятилетней давности. Западные производители активно внедряли такие инженерные решения, когда микропроцессоры были значительно слабее, чем сегодня, и вдо- бавок, еще не существовало технологий вроде DPDK и VPP, которые в совре- менных многоядерных процессорах полу- чили свое аппаратное ускорение. То есть сейчас даже дорогостоящие мно- гоядерные процессоры оказываются гораздо более экономически выгодным и эффективным решением, чем специа- лизированные FPGA-ускорители. На данный момент в Ideco не рассмат- ривают поддержку аппаратных ускори- телей в своем продукте, поскольку после перехода на VPP и внедрения собствен- ного сетевого стека уже достигается значительное ускорение. Однако стоит оговориться, что некоторые специфиче- ские случаи, например шифрование по стандарту ГОСТ, может в будущем потре- бовать аппаратного ускорения для повы- шения производительности и вернуть разработчиков к этому вопросу. Что нового добавится в 2025 году Мощность разработки в компании Ideco растет от года к году: стало больше разработчиков, тестировщиков, инже- неров и других специалистов, работаю- щих с продуктом. Поэтому и скорость появления новых возможностей в Ideco NGFW повышается. Пройдемся по наи- более интересным аспектам, ожидаемым в новом году. Объединение Ideco NGFW и Ideco NGFW VPP С прошлого года в компании ведется разработка, фактически, двух продуктов: Ideco NGFW и Ideco NGFW VPP. VPP- версия отличается тем, что в ней исполь- зуется сетевой стек в User Space (а не в ядре Linux) с применением технологии VPP. Из библиотеки VPP, впрочем, используется только базовая функцио- нальность, а все модули обработки тра- фика написаны самими разработчиками Ideco, в том числе межсетевой экран, IPS, DPI, Proxy и др. Такой подход поз- воляет значительно ускорить обработку трафика и при этом сделать ее доста- точно гибкой, настраивать правила фильтрации в более удобном формате. В 2025 г. планируется объединение обеих веток в единый продукт с сохра- нением всех наработок по улучшению производительности, которые велись в версии VPP. Сертификаты ФСТЭК России и ФСБ России Особое внимание в 2025 г. будет уде- лено версии Ideco UTM FSTEK. На сего- дняшний день актуальна 18-я версия, и планируется обновление до версии 19. В новом году также готовится большое обновление, связанное с ГОСТ VPN, сначала для подключений Site-to-Site, а чуть позже и для Client-to-Site. Кроме того, компания готовится сер- тифицировать Ideco NGFW по относи- тельно новым требованиям – к много- функциональным межсетевым экранам уровня сети. По сути, они описывают минимальный набор модулей не просто в МЭ, а именно в NGFW. Сенсор NetFlow В Ideco NGFW появится поддержка NetFlow-сенсора для перенаправления трафика на NetFlow-коллектор в целях мониторинга и анализа. Сейчас в NGFW реализован SPAN- интерфейс для зеркалирования трафика, однако этот способ не всегда удобен для крупных сетей с большим количе- ством устройств. В таких случаях NetFlow становится более предпочтительным инструментом. Поддерживаются NetFlow v5 и IPFIX v9, что обеспечивает совме- стимость с большинством современных решений для анализа трафика. Пока что сенсор представлен в единственном экземпляре на весь продукт, но в даль- нейшем разработчики планируют доба- вить возможность экспорта данных в несколько коллекторов, предоставив пользователям более гибкие конфигу- рации. Поддержка NetFlow – это тоже часть стратегии Ideco по следованию отрас- левым стандартам. Этот протокол широ- ко распространен и позволяет без слож- ностей интегрироваться с системами анализа и мониторинга трафика. Другие улучшения Запланированы и другие, не менее интересные функции. l В VPN-клиенте появится ускорение синхронизации групп безопасности с Active Directory. Особенно оценят это улучшение те, у кого в инфраструктуре есть не просто каталог, а AD-леса, тыся- чи групп и десятки тысяч пользовате- лей. l Улучшится отчетность по трафику. l Добавится балансировка VPN-соеди- нений в режиме Active-Active. l С компанией SkyDNS ведется большая работа по улучшению модуля категори- зации сайтов: добавятся новые катего- рии, улучшится качество наполнения существующих. l Появится портал SSL VPN, который будет защищать опубликованные ком- панией ресурсы. В заключение Надежность работы – это одно из главных требований заказчиков к рос- сийским ИБ-решениям. Поэтому на сего- дняшнем рынке NGFW важно не только успеть за запросами заказчиков, но и сделать это так, чтобы не пострадала стабильность. Разработчикам Ideco это удавалось в прошедшем году, и они настроены, чтобы так же получалось и в будущем. l • 21 NGFW www.itsec.ru На правах рекламы