В рамках данной статьи хотелось бы обсудить вопрос: «Как выбрать NGFW решение из многообразия предлагаемых продуктов, решений и вендоров?» В связи с этим, мы рассмотрим несколько соображений по этому поводу и сформируем некий «чек-лист», по которому желательно пробежаться перед выбором решения.
Соображение №1. Все конкретно недоговаривают
Последние несколько лет я очень плотно занимаюсь темой NGFW, и самый частый запрос от клиентов, выбирающих решение для защиты сети, это сравнение и вопросы различия между лидерами различных квадрантов Gartner, NSS Lab и так далее. И это могло бы быть простой задачей. Но, как говорил один герой известного сериала…

К большому сожалению, нет НИ одного вендора с полностью достоверной информацией в маркетинговых брошюрах и DataSheet-ах. Каждый из них либо что-то недоговаривает, либо использует заведомо бесполезные характеристики, которые получаются с помощью искусственных тестов. Уловок у них миллионы. В большинстве случаев только личный опыт и большая (огромная) практика работы со всеми решениями на рынке, могут помочь вам обстоятельно выбрать решение для конкретной задачи за тот бюджет, который у вас есть.
Без опыта, вы обречены бесконечно просматривать сравнения, вроде этого:

В общем-то очевидно, что это никак не приблизит вас к взвешенным объективным и аргументированным критериям выбора решения для защиты.

Соображение №2. Каждый сам кузнец своего счастья (несчастья)
Проблема выбора появляется в первую очередь из-за отсутствия исходных данных. Если кто-то ожидает увидеть дальше сравнение всех вендоров по триллиону критериев, то можете смело пропускать эту статью. Такой задачи я перед собой не ставлю, и вижу ее больше вредной, чем полезной. Во-первых, у всех разные задачи, во-вторых, ситуация на рынке меняется быстро, сегодня у кого-то нет актуального сертификата того или иного надзорного органа или какой-то фичи, а завтра, бах, и всё появилось. Ценность такого сравнения помножилась на 0. Но это не значит, что таких сравнений не должно быть. На мой взгляд, каждый может составить матрицу критериев, ответив для себя и своей организации, что является критичным, важным и желательным при выборе NGFW решения, а потом по вашей персональной матрице проставить «+» и «–». Так вы получите самое эффективное сравнение, отвечающее именно вашей задаче. Составить такую объективную матрицу, обратить ваше внимание на места, где много вранья и недоговорок со стороны уважаемых лидеров, я и ставлю как цель для этой статьи.

Соображение №3. Критерии сравнения
Давайте перейдем к критериям. Определите какие из них важны для вас, а какие можете отбросить за их неактуальностью. По каждому критерию, я постараюсь дать пояснения и предостережения из личного опыта.

1. Сертификация в РФ
Это отличный водораздел при выборе NGFW решения. Есть компании, которые решения без сертификата ФСТЭК не допускают до сравнения в принципе. Но тут кроется много нюансов. Во- первых, вы сразу можете разделить производителей на:

• «наших» — отечественные производители в основном имеют сертификаты и это часто их единственная сильная сторона;
• «американских» — им сложнее получить сертификаты, часто это сертификат на старую версию ПО, которая может быть «энд оф саппорт», или со старыми багами, обновить или пропатчить дырявое решение может быть проблемой;
• «израиль» — тут удачное стечение обстоятельств, иначе и не скажешь. Функциональное превосходство над отечественными разработками и отсутствие политических противоречий, получают сертификаты и довольно быстро («конечно, все относительно») на актуальные версии.

Во-вторых, на что еще надо обратить внимание:

• Имеет ли решение сертификаты ФСТЭК и ФСБ?
• Какая версия ПО и какие модели оборудования сертифицированы? На сколько версия и модель актуальна на текущий момент? Она поддерживается? Есть ли в ней бреши безопасности, закрытые в более новых версиях.
• Класс сертификации? Напомню, с 1 декабря 2016 года ФСТЭК всё поменял.
• Что конкретно сертифицировано МСЭ/IPS/IDS/VPN?
• Текущие сертификаты, сроки годности и перспективы продления?

Бывает, что вендор, заявляет о наличие сертификатов, но версия старая и тех.поддержки уже нет или вот-вот не станет. Некоторые продлевают поддержку для сертифицированных версий на территории РФ. Узнать это можно только у опытных партнеров или честных вендоров, при правильно поставленном вопросе.

2. Какая схема лицензирования решения в целом?
Тут все просто. Кто-то продает железку, и грузите ее трафиком, сколько выдержит, столько выдержит. Есть решения с ценообразованием за пользователя + фичи. Считайте и выбирайте. Что касается первого варианта с продажей железки (или виртуальной машины), не верьте даташитам. Только реальное тестирование покажет фактическую загрузку и производительность. У вас у всех разные трафик, задачи и организация сети. Все возможные тесты для каждого заранее не сделать. Только пилотный проект даст честный результат.

3. Нотификация и ввоз
Это подводный камень, о котором сами вы догадаетесь в последнюю очередь. Практически все NGFW решения имеют криптографию. Ввезти в чемодане такое устройство опасно с уголовной точки зрения. А значит на каждую модель нужно получить нотификацию на ввоз. Занимается этим обычно сам вендор. Правильные ребята делают быстро и почти сразу, как только появляются эти самые новые модели. Но так делают не все, есть игроки на рынке NGFW, кто годами не получается нотификацию, и ввезти и продать их устройства нельзя. Но в большой степени речь не о них. Просто помните, что если на сайте появилась новая модель, реально надо минимум месяц-два на получение документов для ввоза. Помните об этом, когда под конец года необходимо срочно «освоить» бюджет.
Вопросы для сравнения:

• Можно ли ввезти в РФ, есть ли нотификации на данные модели?
• Существует ли возможность «серых» поставок и как проверить? Рекомендую не связываться с «серыми» схемами.

4. Техническая поддержка
Про нее вы вспомните уже потратив деньги, и порой можете быть сильно разочарованы. Иногда настолько, что придется тратить еще один бюджет на смену решения. Опять же, пилотный проект помогает все расставить на свои места. В рамках тестирования вы можете оценить компетенции и квалификацию партнера-интегратора, а часто и работу поддержки самого вендора. Рекомендация, если вендор не имеет поддержки в РФ (или количество инженеров меньше 10 человек), вы с гарантией будете сами и уединенно решать свои проблемы. Решайте сами, на сколько для вас это критично. Некоторые вендоры, позволяют партнерам оказывать свою первую линию, уточняйте до покупки, кто и на каких условиях будет вам помогать с траблами в работе решения.
Доп. Вопросы:

• Кто оказывает и на каких условиях?
• Сколько стоит и условия продления тех. поддержки?
• Что входит в техническую поддержку?
• Есть ли у вендора русскоговорящая локальная поддержка, сколько инженеров?
• Как осуществляется техническая поддержка и замена при поломке?
• Была ли компания продана или куплена кем-то за прошедшие 2 года? Сколько раз? Часто после таких пертурбаций продлить поддержку даже на имеющееся оборудование выливается в проблему.

5. Страна происхождения
Как и в первом критерии с сертификацией, для многих в условиях санкций это важный критерий. Списки компаний под санкциями ширятся, и кто там будет через год достоверно сказать не может никто. Опять же это касается далеко не всех.
Доп. вопросы:

• Какое отношение вендора к санкциям?
• Есть ли заказчики из списка санкций и их отношения с вендором?

6. Существуют ли дополнительные лицензии и скрытые платежи?
Спросите и внимательно слушайте, кто и что начнет говорить.

7. Доля рынка и история компании
Это может быть важным, если вы стратегически выбираете партнера для защиты вашей компании и не намерены через год менять решение. Плюс NGFW — это достаточно конкурентный рынок, часть именитых игроков с него уже ушли, хотя начинали очень бодро. И история компании может многое рассказать об успехах, этапах развития и фокусе работы. Есть игроки заточенные только под тему безопасности, а есть те, кто до кучи еще и ngfw-шлюзики поделывает, но их все меньше.

• Сколько лет на рынке?
• Достижения в индустрии (gartner/nss lab), премии и награды?
• Продуктовый портфель. Чем компания еще занимается?
• Какой фокус компании и широта разработок?

8. URL фильтрация и категоризация Интернет трафика
Вот мы и подошли к более-менее техническим критериям. Категоризация интернета у всех работает по-разному. На что важно обратить внимание? Приведу пример. Если вы хотите просто заблокировать соц. сети, то вам хватит самого простого решения, основные сайты блокируются у всех. Но иногда у вас могут возникнуть задачи посложнее: скажем отделу HR разрешить чатиться в соц. сетях, отделу PR — размещать посты и картинки, а просмотр видео и прослушивание музыки в соц. сетях надо закрыть всем. Вот тут многие вендоры разведут руками и останутся единицы, кто детализирует трафик и может реализовать такую схему работы.

• Собственные базы или подписка на сторонние базы?
• Какая схема лицензирования (по пользователям или нет)?
• Количество категорий и детализация Рунета. Сколько категорий?
• Имеет ли решение технологию HTTPS инспекции трафика и как реализована?

Почти у всех HTTPS разбор трафика с подменой сертификата есть, если нет – это уже не NGFW решение. Но вот тонкостей в работе, проблем с производительностью шлюза с разбором https трафика, хватает. Тут от меня один совет: только пилотный проект вам все покажет и наглядно объяснит, о чем это я сейчас.

9. Proxy
Многие NGFW шлюзы могут работать в качестве Proxy-сервера. Если Вы решили использовать такой вариант ответьте для себя на следующие вопросы:

• Кэширует или нет? А вам надо?
• Поддерживается ли явный/прозрачный режим работы?
• Работает ли X-forward IP?
• Поддерживается ли функционал Reverse proxy?
• Используются ли лимиты по полосе пропускания?
• Используются ли лимиты по объему скаченного трафика?
• Есть ли интеграция политики по пользователям и группам AD?
• Есть ли просадки в производительности при таком режиме работы шлюза?

10. Защита от вредоносного трафика (антивирус)

• Используются собственные базы или партнеров?
• Какая схема лицензирования антивируса?
• Надо ли докупать какие либо лицензии у третьих производителей?
• Какая производительность системы с включенной антивирусной защитой?

11. Интеграция с MS AD и другими службами
Давно прошли времена политик по IP. Все уважающие себя решения умеют дружить с MS AD и применять политики прохождения трафика для пользователей и групп. Но вот интегрируются все по-разному. Кто-то просит поставить агента на контролеры домена, кто-то обходится без агентов. Кто-то захочет агента для десктопа, кто-то попросит ввести логин-пароль в браузере, кто-то всего по чуть-чуть и в разных конфигурациях. Совет: пилот и решение кейсов на местах. Универсальных решений нет. Свои проблемы и workaround есть у каждого решения NGFW.

• Какая схема работы (агенты, права доступа к AD)?
• С чем интегрируется AD/Radius/Tacacs+ и другие? Может у вас не только AD.
• Какие методы интеграции используются? Как реализованы? (агенты/права доступа, контроллеры домена, web портал/терминальные серверы)

12. IPS/IDS
Это мое любимое. Сколько случаев, купили IPS, поставили, три галочки настроили и живем с полным ощущением безопасности и защищенности. Чушь, бред, никуда не годится. IPS требует внимательной, вдумчивой настройки и обновлений каждый день, а то и чаще. Первый критерий при выборе – удобство интерфейса. Попросите показать интерфейс для настройки. Вам придется разбираться с сотнями и тысячи сигнатур, если вы в них не разберетесь, толку от IPS не будет. Если вам будет сложно отслеживать новые сигнатуры и не понятно от чего они защищают, то эффективность такой защиты будет минимальна. Вам ПРИДЕТСЯ разбираться с сигнатурами и их настройкой, конечно, если вы не хотите разбирать сотни логов, когда IPS заблокировал атаку на apache, летящую в сторону вашего IIS сервера. А такое сплошь и рядом. Кроме вас, никто не знает вашу инфраструктуру лучше. Про DETECT скажу лишь, что его должно быть минимальное количество. Во-первых, это сбережет ресурсы шлюза, во-вторых, сохранит вашу сеть в безопасности. Молотить трафик по всем сигнатурам, писать лог о детектировании, и в итоге пропускать атаку до сервера – самый глупый из возможных сценариев внедрения. Будьте умнее и регулярно проверяйте защищенность периметра.

• Какой объем базы сигнатур?
• Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…
• Удобство администрирования. Как настраиваются правила фильтрации IPS?
• Наглядность детектирования и блокировки. Есть ли система уведомлений и отчетности?

13. Определение и фильтрация приложений
С приложениями вот какая штука, есть они у почти всех уважаемых игроков рынка NGFW. Вопрос скорее в том, а сколько приложений лично вам надо, это раз. Два – насколько качественно шлюз детектирует эти приложения и быстро их блокирует. Методы обхода в работе? Те же вирусы и боты, могут прикидываться скайпом, например. Как предлагаемое решение отработает такой сценарий? Опять же лучшее сравнение – это пилотный проект. Всю подноготную вы на себе ощутите сразу или не ощутите, все от решения зависит.

• Какое количество приложений в базе? Скорость увеличения базы?
• Какова детализация Рунета?
• Какая схема лицензирования web-фильтра и приложений?
• Есть ли блокировка скачивания по типам файлов? Какие форматы поддерживаются и распознаются?
• Базы собственные или партнерские по подписке?

14. Блокирование ботнет трафика
Если честно, все чаще вирусы превращаются в ботов. Мы в своей работе уже давно не видели отчетов после аудитов сети, в которых бы не было зарегистрировано бот-активности. Это значит, что в сети куча уже зараженных ПК, но про это никто не знает. Это и шифровальщики, и ПО для слежки, и банковские трояны, и куча еще всего… К чему это приводит? К печали в глазах админов и инженеров ИБ, руководства и владельцев бизнеса. Как бороться и что делать, чтобы не приуныть? Детектировать и блокировать бот трафик в сети на всех уровнях и сразу лечить зараженные машины. Проведите пилот и проверьте все выше сказанное.

• Какие методы детектирования и блокировки бот-зараженных машин используются?
• Какая схема лицензирования защиты от ботов?
• Производительность при включении инспекции на бот-трафик?

15. Обнаружение утечек информации
DLP. Некоторые NGFW решения предлагают данный функционал. Штука полезная, хотя часто от полноценное решения DLP отстает в плане функционала и возможностей. Но как дополнительная система или модуль с интеграцией к основному решению DLP может оказаться очень полезным. Мысль простая, если у вас уже есть DLP, уточните можно ли интегрировать NGFW с вашей DLP системой, если DLP – нет, тогда лучше возьмите NGFW с DLP функционалом, пригодится.

• Какие протоколы анализирует?
• Какие методы детектирования конфиденциальных данных используются?
• Как система определяет шифрования данных?

16. Удалённый доступ (VPN/SSL)
Задайте себе и вендору вопросы о возможных вариантах подключения удалённых пользователей. Какие технологи есть, какие сценарии внедрения, нюансы в работе? Попросите демонстрацию, посмотрите на все это глазами пользователя? Будет ли им удобно пользоваться выбранным решением. А еще лучше привлеките фокус группу к тестированию на этапе пилотного проекта.

• SSL VPN
• GOST SSL VPN
• IPSec VPN
• Поддержка 2-х факторной аутентификации (SMS, Сертификат, Токен)

17. Поддержка мобильных устройств
Если вы хотите обеспечить доступ мобильных сотрудников, решите с каких устройств они будут подключаться. Не все ОС могут быть в списке поддерживаемых, не на все девайсы могут быть приложения.

• iOS
• Android
• Windows
• Другие

18. ГОСТ VPN
Если вам нужен ГОСТ VPN, скорее всего вы купите российское решение, но есть импортные поставщики сертифицированного ГОСТ VPN. Основная проблема с ГОСТ шифрованием – производительность. А еще есть проблемы с централизованным управлением, отчетностью и траблшутом таких решений. Генерацией ключей не реже 1 раз в 6 месяцев и много еще чего. Только пилот покажет всю красоту и многогранность данной задачи. Тестируйте. И попросите в тест как минимум один кластер в центр и два удаленных устройства для офисов. Точку-точку вам соберут за 5 минут, нет сомнений. А вот схему посложнее уже будет трудно показать красиво/ У некоторых производителей можно докупить сертификаты и образы ОС и сделать сертифицированным решение, купленное много лет назад. Часто это удобно.

• Удобство администрирования. Централизованное или распределенное?
• Производительность гост-шифрования? Какая максимальная пропускная способность канала гост VPN?
• Стоимость сертифицированной версии ПО? Как приобретается?
• Какие возможны сценарии внедрения и закупки?

19. Защита от спама и проверка SMTP трафика
Почта – номер 1 среди каналов заражения и передачи зловредов. Но выключить ее совсем никто не может, значит надо защищаться и разбираться с тем, что и от кого к нам летит в почтовый сервер. Тут только тестирование покажет вам объективную картину. У многих NGFW решений защита почты вынесена в отдельный продукт, кто-то совмещает все на одном устройстве. Функционал тоже отличается. Так что только тест даст вам полную картину.

• Какие механизмы проверки от СПАМ используются?
• Своя база или интеграция с партнерами?
• Есть ли функция SMTP Relay\MTA?
• Производится ли проверка вложений и архивов?

20. Песочница — блокировка 0-day атак
Почти все современные NGFW решения обзавелись песочницами. Кто-то их купил, кто-то разработал сам. На самом деле, тут идет самая интересная борьба. Не буду грузить деталями, тест и еще раз тест. На пальцах объяснить CPU-level детектирование ROP будет сложно, а многим это даже и не нужно. Так что берем шлюз с песочницей от разных производителей и тестируем, сравнив результаты, вы быстро все поймете сами, без умных слов и маркетинговых названий технологий. Помните, хакеры умные ребята, как обходить песочницы они давно придумали…

• Используется ли Облако как сервис?
• Возможно ли использование аппаратных модулей?
• Какие методы эмуляции и детектирования используются?
• Как осуществляется защита от детектирования и обхода песочницы?

21. Кластер/отказоустойчивость
Опять же, лучше тестируйте. Кластер есть у всех уважающий себя производителей. Но реализация у всех разная, у каждого могут быть свои причуды. Как бы коса на камень не нашла. Из бонусов, некоторые вендоры «с колес» на кластер дают хорошую скидку.

• Какие существуют режимы кластера? (Active/Standby и\или Active/Passive и\или Active/Active)
• Режим переключения при сбоях. Что будет происходить с трафиком?
• Как осуществить изменение режима работы кластера в процессе работы?
• Поддерживается ли VRRP?

22. Поддержка динамической маршрутизации
Последний чисто технический критерий. Посмотрите на свою инфраструктуру и оцените все особенности реализации маршрутизации внутри периметра. Постарайтесь понять, что вам нужно от шлюза NGFW, но не превращайте его в маршрутизатор ядра. Защита трафика и маршрутизация – все же разные задачи и лучше их не смешивать.

• BGP
• OSPF
• RIP
• ISIS
• поддержка IPv6

23. Какие технологии используются для VPN, NAT, Dynamic Routing, ISP redundancy?
Это и к вопросу об архитектурных особенностях, и прозрачности работы технологий, и их траблшуту. Отдельно стоит уточнить логику работы политик и обработки правил при прохождении трафика. Порой тут могут появляться удивительные вещи.

24. Централизованное управление
Без этого сейчас никуда. Помните, вы выбираете решение, с которым вам жить и каждый день работать. Если оно неудобное, непонятное, медленное, плохо поддерживаемое, вы проклянете тот день, когда его выбрали. Про безопасность тут даже речи не идет. Решение должно быть понятное, с хорошими логами для траблшута, с централизованным управлением всеми шлюзами и хорошей системой отчетности.

• Есть ли ограничения по количеству шлюзов и какие?
• Какая процедура добавление новых шлюзов в центр управления?
• Существует ли и поддерживается распределенная модель управления?
• Поддерживается ли много-доменная модель управления?
• Какой интерфейс управления?

25. Наличие системы отчетности и логирования
Если вы не читаете логи ваших систем безопасности, то это значит они не работают. Безопасность – это процесс, он требует внимания и реакции людей на местах. Если логи читать неудобно, нет корреляций, нет системы уведомлений по почте – это плохая система. Толку от нее будет немного. И это слабая сторона всех вендоров в NGFW. Ситуация у всех разная, у кого-то лучше, у кого-то хуже, у кого-то отчетности нет совсем. Но даже у тех, кто считается лидером в данном аспекте, есть пробелы и не все отчеты вы сможете построить легко и не принужденно.

• Своя система или сторонние продукты?
• Интеграция с SIEM. С какими и как?
• Если используется внешняя система отчетов (3d-party), то сколько стоит и как лицензируется?

26. Реальная производительность оборудования и VM шлюзов
Еще раз — все врут. Увы, но это правда. Не верьте даташитам и тем мега-гига-тера битам, которые в них. Это почти всегда синтетика, не имеющая отношения к реальной жизни. Только тестирование в вашей среде покажет правильность вашего выбора и модели. Помните, скупой платит дважды (многократно). Если не хватает бюджета на нужную модель, либо торгуйтесь с вендором, либо купите другого вендора с функционалом по проще, но с большей производительностью железа. Купить систему и отключить все фичи защиты – худший из всех вариантов. Зачем вам еще один роутер за такие деньги?

• Методы тестирования и результаты?
• Отличие маркетинговых данных и реальных в жизни?

27. Какая базовая операционная система у решения?
Порой это важно в архитектурном плане. Лучше если у вендора своя ОС, хуже если всячески переделанные на коленке линуксы, bsd и прочее.

28. Стоимость годового владения
Сейчас все переходят на систему ежегодных платежей. Почти все функциональные модули у всех производителей продлеваются по подписке. Антивирус, URL фильтрация, контроль приложений, IPS и т.д. все требует обновления сигнатур, это ежедневная работа большего числа людей и искусственного интеллекта, эта работа должна оплачиваться, тут все честно. Вот стоимость у всех разная. Чтобы через год не округлиться глазами, спросите стоимость ежегодных платежей на этапе выбора и до покупки. Берегите зрение.

• Что будет, если не получать продление?
• Есть ли годовые платежи и подписки?
• Что входит в продление?

29. Наличие инженеров и партнерской сети РФ
Это как и с поддержкой, будет сильным подспорьем на этапе внедрения (если вы его не заказываете отдельно) и на этапе эксплуатации. Баги есть у всех. Вопрос как быстро вы будете находить решение возникающих проблем и будете вы это делать в одиночку или с командой профессионалов. Плюс решите, кто внутри вашей организации будет администрировать работу NGFW шлюзов. Оцените распространённость сертифицированных инженеров на рынке, сколько они стоят. А то получится, как с OpenSource. Все вроде бы бесплатно, но сотрудники стоят космических денег, и заменить их некем.

• Наличие большого числа сертифицированных инженеров в РФ.
• Какой Demo-фонд оборудования у партнеров?
• Какое количество партнеров в РФ?

Заключение
Во-первых, спасибо что дочитали. Надеюсь, статья полезна и обратила ваше внимание на темы, которые вам, возможно, не были очевидны. Истина рождается в споре, поэтому если вы с чем-то не согласны, то оставляйте комментарии. Мы в первую очередь за объективность.
Во-вторых, я старательно избегал упоминания вендоров, так как главное, чтобы вы решили для себя сами, какая у вас задача и нашли решение именно для нее, решение, наиболее полно отвечающее конкретно вашим запросам и целям. Тогда все будут довольны.
А если у вас уже есть системы безопасности и инспектирования трафика, проверьте их работу и эффективность, как это описано в нашей предыдущей статье.