Завершаем серию статей, посвященных выбору подходящего NGFW, третьей заключительной частью. Если вы еще не читали первую и вторую часть, рекомендуем ознакомиться сначала с ними.
Ниже приведены заключительные 9 критериев сравнения. Все так же: определите, какие из них для вас важны, а какие можно отбросить за их неактуальностью. По каждому критерию я стараюсь давать пояснения и предостережения из личного опыта.
21. Кластер/отказоустойчивость
И снова: лучше тестируйте. Кластер есть у всех уважающих себя производителей, но реализация у всех разная. У каждого могут быть свои причуды. Как бы коса на камень не нашла. Из бонусов: некоторые вендоры «с колес» на кластер дают хорошую скидку.
- Какие существуют режимы кластера? (Active/Standby и\или Active/Passive и\или Active/Active)
- Режим переключения при сбоях. Что будет происходить с трафиком?
- Как осуществить изменение режима работы кластера в процессе работы?
- Поддерживается ли VRRP?
22. Поддержка динамической маршрутизации
Последний чисто технический критерий. Посмотрите на свою инфраструктуру и оцените все особенности реализации маршрутизации внутри периметра. Постарайтесь понять, что вам нужно от шлюза NGFW, но не превращайте его в маршрутизатор ядра. Защита трафика и маршрутизация все же разные задачи и лучше их не смешивать.
- BGP
- OSPF
- RIP
- ISIS
- поддержка IPv6
23. Какие технологии используются для VPN, NAT, Dynamic Routing, ISP redundancy?
Это и к вопросу об архитектурных особенностях, и прозрачности работы технологий, и их траблшуту. Отдельно стоит уточнить логику работы политик и обработки правил при прохождении трафика. Порой тут могут появляться удивительные вещи.
24. Централизованное управление
Без этого сейчас никуда. Помните: вы выбираете решение, с которым вам жить и каждый день работать. Если оно неудобное, непонятное, медленное, плохо поддерживаемое — вы проклянете тот день, когда его выбрали. Про безопасность тут даже речи не идет. Решение должно быть понятное, с хорошими логами для траблшута, с централизованным управлением всеми шлюзами и хорошей системой отчетности.
- Есть ли ограничения по количеству шлюзов и какие?
- Какая процедура добавление новых шлюзов в центр управления?
- Существует ли и поддерживается распределенная модель управления?
- Поддерживается ли много-доменная модель управления?
- Какой интерфейс управления?
25. Наличие системы отчетности и логирования
Если вы не читаете логи ваших систем безопасности, то это значит, что они не работают. Безопасность – это процесс, он требует внимания и реакции людей на местах. Если логи читать неудобно, нет корреляций, нет системы уведомлений по почте – это плохая система. Толку от нее будет немного. И это слабая сторона всех вендоров в NGFW.
Ситуация у всех разная: у кого-то лучше, у кого-то хуже, у кого-то отчетности нет совсем. Но даже у тех, кто считается лидером в данном аспекте, есть пробелы, и не все отчеты вы сможете построить легко и непринужденно.
- Своя система или сторонние продукты?
- Интеграция с SIEM. С какими и как?
- Если используется внешняя система отчетов (3d-party), то сколько стоит и как лицензируется?
26. Реальная производительность оборудования и VM шлюзов
Еще раз: все врут. Увы, но это правда. Не верьте даташитам и тем мега-гига-тера битам, которые в них. Это почти всегда синтетика, не имеющая отношения к реальной жизни. Только тестирование в вашей среде покажет правильность вашего выбора и модели.
Помните, скупой платит дважды (многократно). Если не хватает бюджета на нужную модель — либо торгуйтесь с вендором, либо купите другого вендора с функционалом попроще, но с большей производительностью железа. Купить систему и отключить все фичи защиты – худший из всех вариантов. Зачем вам еще один роутер за такие деньги?
- Методы тестирования и результаты?
- Отличие маркетинговых данных и реальных в жизни?
27. Какая базовая операционная система у решения?
Порой это важно в архитектурном плане. Лучше, если у вендора своя ОС, хуже — если всячески переделанные на коленке линуксы, bsd и прочее.
28. Стоимость годового владения
Сейчас все переходят на систему ежегодных платежей. Почти все функциональные модули у всех производителей продлеваются по подписке.
Антивирус, URL фильтрация, контроль приложений, IPS и т.д. — все требует обновления сигнатур. Это ежедневная работа большого числа людей и искусственного интеллекта и эта работа должна оплачиваться, тут все честно. Вот стоимость у всех разная. Чтобы через год не округлиться глазами, спросите стоимость ежегодных платежей на этапе выбора и до покупки. Берегите зрение.
- Что будет, если не получать продление?
- Есть ли годовые платежи и подписки?
- Что входит в продление?
29. Наличие инженеров и партнерской сети РФ
Это, как и с поддержкой, будет сильным подспорьем на этапе внедрения (если вы его не заказываете отдельно) и на этапе эксплуатации. Баги есть у всех. Вопрос, как быстро вы будете находить решение возникающих проблем и в том, будете вы это делать в одиночку или с командой профессионалов.
Плюс решите, кто внутри вашей организации будет администрировать работу NGFW шлюзов. Оцените распространённость сертифицированных инженеров на рынке, сколько они стоят. А то получится, как с OpenSource. Все вроде бы бесплатно, но сотрудники стоят космических денег, и заменить их некем.
- Наличие большого числа сертифицированных инженеров в РФ
- Какой Demo-фонд оборудования у партнеров?
- Какое количество партнеров в РФ?
Заключение
Надеюсь, статьи полезны и обратили ваше внимание на темы, которые, возможно, не были очевидны на первый взгляд. Истина рождается в споре, поэтому если вы с чем-то не согласны, то оставляйте комментарии. Мы, в первую очередь, за объективность.
Я старательно избегал упоминания вендоров, так как главное, чтобы вы решили для себя сами, какая у вас задача, и нашли решение именно для нее — решение, наиболее полно отвечающее конкретно вашим запросам и целям. Тогда все будут довольны.
Спасибо за прочтение серии!
Автор: Михаил Зимин. Генеральный директор TS Solution
#информационная безопасность #чек-лист #it-технологии #it #системное администрирование