«Встречают по одежке, провожают по уму» — гласит русская народная пословица. Мы осмелились переделать ее на свой лад: «NGFW встречают по маркетинговым материалам, а провожают… — стоп, а почему провожают? — … а покупают по результатам пилотного проекта!».
Большинство продуктов для ИБ, прежде чем найти свое место в тернистой инфраструктуре, проходят этап тестирования на пилотном проекте. Чем продукт сложнее в исполнении и важнее для обеспечения информационной безопасности, тем тщательнее и ответственнее заказчики подходят к «пилоту». Как же провести пилотное тестирование NGFW? Пойдем от обратного и расскажем, как провести самый ужасный пилотный проект NGFW.
? Вредные советы вы найдете в стишках, а под ними — вся правда.
Мы провели открытый опрос, пообщались с экспертами, обладающими сертификатами CCIE, расспросили менеджеров проектов и инженеров, до которых смогли дотянуться, добавили немного юмора и написали эту статью.
Предпилотные подпрыгивания
Сразу же, как захотите файрвол свой заменить, не вникайте, что из функций должен точно он иметь.
Смело даташит заморский вы закиньте в вендоров, ведь они свои продукты называ (для рифмы) NGFW.
А потом вы не забудьте громко ножками стучать и ругаться, что на рынке ничего в помине нет.
Забугорные железки серо в серверной шуршат, а микротик с сурикатой никому не победить.
Подумаем рационально…
Наверняка у вас уже есть NGFW, который нужно менять. Даже если вместо него MikroTik с прикрученной Suricata, то все равно задумайтесь о замене. Проанализируйте, какие функции выполняет (или не выполняет, но хотелось бы) и какой объем трафика переваривает ваш NGFW, какие есть перспективы развития сетевой инфраструктуры. Сформируйте требования и передайте их вендорам. Именно качественно сформированные требования к NGFW — это 50% успеха.
Далее, в непринужденной беседе с представителем вендора ознакомьтесь с возможностями его NGFW. Сформируйте перечень доработок, получите информацию о сроках реализации и переложите эту информацию на потенциальный процесс внедрения. Поверьте, вы не будете внедрять новый NGFW здесь и сейчас (надо было вчера, но это совсем другая история).
Внедрять его вы будете после покупки, а это через несколько месяцев… Которые вендор использует для доработки продукта по вашим и не только вашим пожеланиям.
Это был этап предпилотной активности. Дальше — больше. Дальше — пилотный проект.
Пилотные приседания
На пилот себе берите самый мощный файрвол, ведь начинку железяки в облаках не посмотреть.
Тестам не в свой инфре не верьте, ведь у вас все по-другому. Смело пару виртуалок подключайте к файрволу.
В опросе, который упоминался выше, мы спрашивали участников: «Для прохождения тестирования функциональности и тестирования модулей безопасности нужно ли устанавливать NGFW в свою инфраструктуру и настраивать интеграции с рабочими сервисами или можно воспользоваться облачным лабораторным стендом, который позволяет пройти все проверки?».
Интересно, что лишь 5% ответили: «Да, облако в самый раз».
Нам показалось это несправедливым, и вот почему.
В Positive Technologies есть возможность самостоятельно поработать с облачным стендом, который позволяет проверить работоспособность большинства функций, которые доступны в PT NGFW. Стенды разворачиваются автоматически, доступ предоставляется лично сотруднику, выдается сценарий работы. Мы называем это тест-драйв и используем его для обучения своих сотрудников и сотрудников наших партнеров. Вы можете обратиться к вашему менеджеру Positive Technologies за подробностями.
Окей, с набором функций NGFW в облаках полетали, а как же нагрузочное тестирование, спросите вы. Оно есть у нас. Подключайтесь по видеосвязи или приезжайте в офис, и мы совместно запустим несколько тестов с помощью генератора трафика Cisco Trex, создадим 100500 правил, включим IPS и журналирование. По возможности проверим максимальную нагрузку при SSL-инспекции и с другими модулями безопасности PT NGFW.
Такая лабораторная демонстрация называется proof of concept, ее цель — доказать, что технология работоспособна. Демонстрация осуществляется на прототипе (опытном образце) продукта. Другими словами, если самая младшая аппаратная платформа подтверждает свою пропускную способность, набор функций и качество работы модулей безопасности, то есть все основания полагать, что старшая модель подтвердит соответствующие ей перечисленные параметры.
Бег с нагрузкой
А вы знали, что нагрузку можно мерить в юзерах? В сказке пользователи ваши все равны как на подбор.
По числу людей в отделах смело файр подбирайте, а потом быстрей ругаться: «В даташитах все нам врут!»
Настало время поговорить про нагрузочное тестирование!
На этапе предпилотных подпрыгиваний мы уделили внимание формированию требований к NGFW. Уделим же им еще немного времени.
Требования делятся на три категории:
Требования к функциональности. Например, авторизация пользователей AD, URL-фильтрация, remote access VPN, кластеризация
Требования к производительности. Например, 600 Мбит/с в режиме со всеми включенными модулями безопасности, 1 Гбит/с в режиме детектирования приложений (L7) + IPS, 200 Гбит/с в режиме L4-файрвола. (Цифры взяты из воображения автора и не являются реальным примером требований).
Требования к качеству работы модулей безопасности. Например, cache rate при тестировании IPS (процент обнаруженных или заблокированных атак, в зависимости от режима работы), другими словами, качество превента.
Дополнительные трудности при формировании требований к NGFW возникают при их составлении для каждого участка сетевой инфраструктуры, где планируется установить/заменить устройство.
Классическое нагрузочное тестирование проходит в лаборатории. NGFW подключается к генератору трафика, последовательно запускаются различные тесты. По результатам формируется даташит. Сколько вендоров, столько и вариаций даташитов.
В том самом опросе мы спрашивали: «Какие характеристики пропускной способности должны быть в даташите вендора?». Из всех участников 60% ответили «Давайте стандартизируем даташит». Предлагаем устроить сабантуй в комментариях и обсудить, какие параметры пропускной способности обязательно должны быть в документации.
Лабораторные тесты пропускной способности не заменят тестирования в своей инфраструктуре. И у нас два варианта:
Первый подразумевает установку NGFW в своей инфраструктуре и подключение к нему продуктивных сетевых сегментов (это возможно сделать в режимах L2 и L3).
Второй предполагает передачу вендору параметров профиля трафика, чтобы в лаборатории создать условия, максимально приближенные к реальности.
Кстати, среди этих параметров нет параметра «Количество пользователей», и это осознанный выбор. «Но ведь так удобно измерять пропускную способность в пользователях!» — воскликнет кто-то. Удобно? Да. Полезно? Нет!
Изменять пропускную способность NGFW в пользователях — это как измерять пропускную способность водопроводной трубы в капельках.
«Капелька» сотрудника финансового отдела будет отличаться от «капельки» сотрудника отдела разработки. Усредненный профиль трафика сотрудника, используемый для расчетов, основан только на видении вендора и отличается от профиля трафика сотрудника вашей компании. Обман? Да! Но без злого умысла.
Наверное, хватит про нагрузочное тестирование.
Безопасные отжимания
Вредный совет: не забывайте проверять качество работы модулей детектирования.
Если вдруг вас кто-то спросит: в IPS смотреть мы будем? Постарайтесь вы не слушать этих громких провокаций.
Ну а если этот кто-то молвит вам, не прекращая: «В современном файрволе ЭКСПЕРТИЗА должна быть!»
Прям в глаза вы посмотрите вот такому человеку и на ухо прошепчите правду-матку всех времен:
«Беспокойство ваше это я прекрасно понимаю. Знаю я, что в файрволе точно должен быть превент».
И на этом же моменте громко-громко вы засмейтесь. Убегая, прокричите: «Я настрою лишь в детект!»
А еще NGFW должен уметь детектировать/отражать атаки с помощью IDS/IPS. Как проверить качество превента? И снова минимум два варианта:
Простой вариант подразумевает привлечение независимой организации, у которой есть IXIA. Этот продукт имеет заслуженно хорошую репутацию для такого рода проверок, но на момент написания статьи недоступен для покупки в России. Дешевый вариант предполагает проверку работы IDS/IPS по методике тестирования вендора с дополнительными самостоятельными проверками.
Вариант под названием «Высший пилотаж» предлагает вам провести пилотный проект NGFW одновременно с тестированием на проникновение. Довольно затруднительно организовать это одновременно, но поверьте: оно того стоит! Мы советуем заказчикам таким способом проверять качество работы модулей безопасности продукта PT NAD в процессе пилотного проекта, и результат тестирования — это сладкий сон сотрудника экспертного центра безопасности Positive Technologies (PT ESC). Кстати, это они разрабатывают всю экспертизу, на основании которой работают наши продукты.
Посмотрите шестой выпуск «PT NGFW за стеклом» про IPS и экспертизу. Там много интересного.
Заминка
Вот и подходит к концу пилотный проект NGFW и нужно подводить итоги. Спросите себя: «Этот пилотный проект прошел успешно?». Но что для меня «Успешно»? Мы написали аффирмации, шутка, — чек-лист пилотного проекта NGFW, чтобы вы с его помощью смогли оценить успешность завершенного проекта..
Чек-лист
Этап 1: Подготовка к проекту
● Я определил места установки NGFW в инфраструктуре
● Я составил список необходимых функций NGFW для каждого места
● Я определил требования к производительности для каждого места
● Я сформировал комплексные требования к NGFW
● Я подготовил план развития и модернизации сетевой инфраструктуры
● Я подготовил план внедрения/замены NGFW
Этап 2: Проект
● Я посмотрел демо функциональности и архитектуры продукта
● Я протестировал необходимый набор функций NGFW
● Я провел нагрузочное тестирование NGFW
● Я провел тестирование модулей безопасности NGFW
● Я сформировал перечень доработок и рекомендаций по развитию продукта
● Я имею полное представление о возможностях продукта
● Я дал обратную связь по организации работы пилотной команде вендора
● Я не испытываю легкого неудовлетворения
Заключение
«Москва не сразу строилась» — и не сразу появились на отечественном рынке NGFW, которые в полной мере заменили решения ушедших вендоров. Разработка аппаратно-программного межсетевого экрана нового поколения — это весьма трудоемкий процесс, и помимо написания кода, сборки оборудования и тестирования он предполагает тесное взаимодействие вендора с заказчиком и партнерами для формирования плана развития продукта. Каждое ваше пожелание мы передаем команде разработки PT NGFW — не стесняйтесь при составлении списка хотелок.
Выбор NGFW — это важный этап в жизни каждого специалиста по сетевой безопасности, и этот выбор нужно сделать правильно. Запомните: вас повысят, а кому-то потом с этим придется работать!
Немного личного
Сегодня я пишу эту статью, работаю инженером и провожу пилотные проекты продуктов Positive Technologies. А на прошлом рабочем месте я был тем самым душным ибэшником, который не переставал мучить вендоров и интеграторов всевозможными вопросами типа «А как это работает? А что будет, если…?». За моей спиной десятки проведенных пилотных проектов как на стороне заказчика, так и на стороне вендора. Я привык работать «за себя и за того парня», чтобы делать работу качественно, и в дальнейшем я буду делиться с вами интересными кейсами с проектов. Эта статья позволила лично мне систематизировать знания о проведении пилотных проектов NGFW. И если бы у меня была возможность отправить СМС со ссылкой на нее самому себе в прошлое, я с удовольствием бы это сделал.
Спасибо за внимание и до встречи на пилотных проектах Позитивных продуктов и решений!