В рамках серии из 3 статей мы обсудим важный вопрос: как же выбрать подходящий NGFW из многообразия предлагаемых продуктов, решений и вендоров?
Рассмотрим несколько соображений по этому поводу и сформируем некий «чек-лист», который поможет при выборе решения.
Соображение №1. Все конкретно недоговаривают
Последние несколько лет я очень плотно занимаюсь темой NGFW, и самый частый запрос от клиентов, выбирающих решение для защиты сети, это сравнение и вопросы различия между лидерами различных квадрантов Gartner, NSS Lab и так далее. И это могло бы быть простой задачей. Но, как говорил один герой известного сериала…
К большому сожалению, ни один вендор не предоставляет полностью достоверную информацию в маркетинговых брошюрах и DataSheet-ах. Каждый из них либо что-то недоговаривает, либо использует заведомо бесполезные характеристики, получаемые с помощью искусственных тестов.
В большинстве случаев только личный опыт и большая (огромная) практика работы со всеми решениями на рынке могут помочь вам обстоятельно выбрать решение для конкретной задачи за тот бюджет, который у вас есть.
Без опыта вы обречены бесконечно просматривать сравнения, вроде этого:
...что никак не приблизит вас к взвешенным объективным и аргументированным критериям выбора решения для защиты.
Соображение №2. Каждый сам кузнец своего счастья (несчастья)
Проблема выбора появляется в первую очередь из-за отсутствия исходных данных. Если кто-то ожидает увидеть дальше сравнение всех вендоров по триллиону критериев, то можете смело пропускать эту статью. Такой задачи я перед собой не ставлю, и вижу ее больше вредной, чем полезной.
Во-первых, у всех разные задачи, во-вторых, ситуация на рынке меняется быстро, сегодня у кого-то нет актуального сертификата того или иного надзорного органа или какой-то фичи, а завтра "бах" — и всё появилось. Ценность такого сравнения помножилась на 0. Но это не значит, что таких сравнений не должно быть.
На мой взгляд, каждый может составить матрицу критериев, отметив, что является критичным, важным и желательным при выборе NGFW решения для вас и вашей организации. Затем проставить «+» и «–». Так вы получите самое эффективное сравнение, отвечающее именно вашей задаче.
❗ Составить такую объективную матрицу, обратить внимание на места, где много вранья и недоговорок со стороны уважаемых лидеров — моя цель в данной серии статей.
Соображение №3. Критерии сравнения
Давайте перейдем к критериям. Определите, какие из них для вас важны, а какие можно отбросить за их неактуальностью. По каждому критерию я постараюсь дать пояснения и предостережения из личного опыта.
1. Сертификация в РФ
Это отличный водораздел при выборе NGFW решения. Есть компании, которые решения без сертификата ФСТЭК не допускают до сравнения в принципе. Но тут кроется много нюансов.
Во-первых, вы сразу можете разделить производителей на:
- «наших» — отечественные производители. В основном имеют сертификаты, но часто это является их единственной сильной стороной;
- «американских» — им сложнее получить сертификаты. Часто это сертификат на старую версию ПО, которая может быть «энд оф саппорт», или со старыми багами. Обновить или пропатчить дырявое решение может быть проблемой;
- «израиль» — тут удачное стечение обстоятельств, иначе и не скажешь. Функциональное превосходство над отечественными разработками и отсутствие политических противоречий. Получают сертификаты на актуальные версии и довольно быстро («конечно, все относительно»).
Во-вторых, на что еще надо обратить внимание:
- Имеет ли решение сертификаты ФСТЭК и ФСБ?
- Какая версия ПО и какие модели оборудования сертифицированы? Насколько версия и модель актуальна на текущий момент? Она поддерживается? Есть ли в ней бреши безопасности, закрытые в более новых версиях?
- Класс сертификации. Напомню, с 1 декабря 2016 года ФСТЭК всё поменял.
- Что конкретно сертифицировано: МСЭ/IPS/IDS/VPN?
- Текущие сертификаты, сроки годности и перспективы продления
Бывает, что вендор заявляет о наличии сертификатов, но версия старая и тех.поддержки уже нет (или вот-вот не станет). Некоторые продлевают поддержку для сертифицированных версий на территории РФ. Узнать это можно только у опытных партнеров или честных вендоров при правильно поставленном вопросе.
2. Какая схема лицензирования решения в целом?
Тут все просто. Кто-то продает железку и грузит ее трафиком. Сколько выдержит, столько выдержит. Есть решения с ценообразованием за пользователя + фичи. Считайте и выбирайте.
Что касается первого варианта с продажей железки (или виртуальной машины)— не верьте даташитам. Только реальное тестирование покажет фактическую загрузку и производительность. У всех разный трафик, разные задачи и организация сети. Все возможные тесты для каждого заранее не сделать. Честный результат даст только пилотный проект.
3. Нотификация и ввоз
Это подводный камень, о котором догадываются только в последнюю очередь. Практически все NGFW-решения имеют криптографию. Ввезти в чемодане такое устройство опасно с уголовной точки зрения. А значит, на каждую модель нужно получить нотификацию на ввоз. Обычно этим занимается сам вендор. Правильные ребята делают это быстро и почти сразу после появления самых новых моделей.
Но так делают не все. На рынке NGFW есть игроки, которые не получают нотификацию годами. Ввезти и продать их устройства нельзя. Но в большей степени речь не о них. Просто помните, что если на сайте появилась новая модель, необходим минимум месяц-два на получение документов для ввоза. Учитывайте это, когда под конец года необходимо срочно «освоить» бюджет.
Вопросы для сравнения:
- Можно ли ввезти в РФ, есть ли нотификации на данные модели?
- Существует ли возможность «серых» поставок и как проверить? (Рекомендую не связываться с «серыми» схемами)
4. Техническая поддержка
Порой про нее вспоминают уже после того, как деньги потрачены, что может сильно разочаровать. Иногда даже настолько, что придется тратить еще один бюджет на смену решения. Опять же, пилотный проект помогает все расставить на свои места.
В рамках тестирования вы можете оценить компетенции и квалификацию партнера-интегратора, а часто и работу поддержки самого вендора.
Рекомендация: если вендор не имеет поддержки в РФ (или количество инженеров меньше 10 человек), вы гарантированно будете сами и уединенно решать свои проблемы. Решайте сами, насколько это критично для вас. Некоторые вендоры позволяют партнерам оказывать свою первую линию. Уточняйте до покупки, кто и на каких условиях будет вам помогать с траблами в работе решения.
Доп. вопросы:
- Кто оказывает и на каких условиях?
- Стоимость и условия продления тех. поддержки?
- Что входит в техническую поддержку?
- Есть ли у вендора русскоговорящая локальная поддержка, сколько инженеров?
- Как осуществляется техническая поддержка и замена при поломке?
- Была ли компания продана или куплена кем-то за прошедшие 2 года? Сколько раз? Часто после таких пертурбаций продлить поддержку даже на имеющееся оборудование выливается в проблему.
5. Страна происхождения
Как и в первом критерии с сертификацией, для многих в условиях санкций это также является важным критерием. Списки компаний под санкциями ширятся, и кто там будет через год достоверно сказать не может никто. Опять же, это касается далеко не всех.
Доп. вопросы:
- Какое отношение вендора к санкциям?
- Есть ли заказчики из списка санкций и их отношения с вендором?
6. Существуют ли дополнительные лицензии и скрытые платежи?
Спросите и внимательно слушайте, кто и что начнет говорить.
7. Доля рынка и история компании
Это может быть важным критерием, если вы стратегически выбираете партнера для защиты вашей компании и не намерены через год менять решение. Плюс NGFW — это достаточно конкурентный рынок, часть именитых игроков с него уже ушли, хотя начинали очень бодро. История компании может многое рассказать об успехах, этапах развития и фокусе работы. Есть игроки, заточенные только под тему безопасности, а есть те, кто до кучи еще и ngfw-шлюзики поделывает, но их все меньше.
- Сколько лет на рынке?
- Достижения в индустрии (gartner/nss lab), премии и награды?
- Продуктовый портфель. Чем компания еще занимается?
- Какой фокус компании и широта разработок?
8. URL фильтрация и категоризация Интернет-трафика
Вот мы и подошли к более-менее техническим критериям. Категоризация интернета у всех работает по-разному. На что важно обратить внимание?
Приведу пример. Если вы хотите просто заблокировать соц. сети, то вам хватит самого простого решения — основные сайты блокируются у всех. Но иногда у вас могут возникнуть задачи посложнее: скажем отделу HR разрешить чатиться в соц. сетях, отделу PR — размещать посты и картинки, а просмотр видео и прослушивание музыки в соц. сетях надо закрыть всем.
Вот тут многие вендоры разведут руками и останутся единицы, кто детализирует трафик и может реализовать такую схему работы.
- Собственные базы или подписка на сторонние базы?
- Какая схема лицензирования (по пользователям или нет)?
- Количество категорий и детализация Рунета. Сколько категорий?
- Имеет ли решение технологию HTTPS инспекции трафика и как реализована?
Почти у всех HTTPS есть разбор трафика с подменой сертификата. Если нет – это уже не NGFW решение. Но вот тонкостей в работе, проблем с производительностью шлюза с разбором https трафика хватает. Тут от меня один совет: только пилотный проект вам все покажет и наглядно объяснит, о чем это я сейчас.
9. Proxy
Многие NGFW шлюзы могут работать в качестве Proxy-сервера. Если Вы решили использовать такой вариант, ответьте для себя на следующие вопросы:
- Кэширует или нет? А вам надо?
- Поддерживается ли явный/прозрачный режим работы?
- Работает ли X-forward IP?
- Поддерживается ли функционал Reverse proxy?
- Используются ли лимиты по полосе пропускания?
- Используются ли лимиты по объему скаченного трафика?
- Есть ли интеграция политики по пользователям и группам AD?
- Есть ли просадки в производительности при таком режиме работы шлюза?
10. Защита от вредоносного трафика (антивирус)
- Используются собственные базы или партнеров?
- Какая схема лицензирования антивируса?
- Надо ли докупать какие либо лицензии у третьих производителей?
- Какая производительность системы с включенной антивирусной защитой?
Автор: Михаил Зимин. Генеральный директор TS Solution
Если вам понравился чек-лист — ставьте 👍🏻 каналу
Задавайте вопросы в комментариях или пишите на почту sales@tssolution.ru
#системное администрирование #информационная безопасность #серверное администрирование #IT #сетевые технологии