Я уже делал материал по отечественному NGFW от одной из кибербез‑компаний, поэтому решил продолжить практику и поговорить о других NGFW. И ещё в мае 2024 года на Positive Hack Days 2 я поговорил с командой разработки и реализации NGFW компании Positive Technologies, а именно  c лидерами продуктовой практики PT NGFW Юрием Дышлевым и Анной Комша. Надеюсь, будет интересно. Приятного чтения!

Для разработки NGFW логичным кажется использовать open source как базу. Вы же отказались от такого подхода. Не пожалели?

Наша разработка представляет собой эффективную комбинацию Open Source и собственных проприетарных механизмов. Например, было бы глупо создавать кастомный SSH‑протокол для управления межсетевым экраном, так как это потребовало бы значительных временных затрат без существенной пользы. Для качественного фильтрования трафика и обнаружения угроз использование Open Source‑движков IPS не всегда является хорошей идеей. Поэтому мы гордимся тем, что разрабатываем основные и главные продуктивные части межсетевого экрана самостоятельно, хотя это и занимает много времени. Однако это принесет значительные преимущества нашим клиентам в будущем.

А экспертизу вы используете свою?

Да, и это очень важно для всего российского рынка, в частности, и, вероятно, для мировой общественности тоже. Почему? У всех западных зрелых решений существуют выделенные команды, которые занимаются исследованием угроз в интернете и других закрытых областях киберпространства. Например, в Cisco есть подразделение Cisco Talos. У нас в Positive Technologies — команда экспертного центра безопасности PT ESC. Коллеги не только создают экспертизу для PT NGFW, но и для других наших продуктов. Особенно важно, что даже в рамках PT ESC есть люди, которые сфокусированы только на разработке сигнатур. У нас есть собственная база сигнатур в количестве более 8 тысяч, которые в том числе позволяют обнаруживать попытки эксплуатации уязвимостей российских приложений, например Bitrix. Количество распознаваемых приложений превышает 4,5 тысячи (по состоянию на декабрь 2024 года), включая российские приложения.

Мы делаем значительный акцент на том, что не используем open‑source сигнатуры. Наш движок обратно совместим с открытыми стандартами Smart Suricata написания правил. Мы понимаем, какой профит от этого может получить заказчик. Мы провели эксперимент, взяв из github набор из 40 тысяч сигнатур и запустили их на нашем собственном IPS‑движке. И получили крайне плохой результат по catch rate и качеству обнаружения угроз, сравнивая его с нашими собственными.

Что входит в ваш NGFW?

У нас уже есть эффективный механизм передачи трафика. Для интеграции в текущую инфраструктуру заказчиков мы используем протоколы динамической маршрутизации и различные режимы работы интерфейсов, такие как Layer 3 и саб‑интерфейсы, например, Layer 2 Transparent режим. Это позволяет быстро внедрять межсетевой экран в сеть передачи данных без изменения или с минимальным вмешательством в ее архитектуру, предоставляя максимально широкий набор средств интеграции в сетевую инфраструктуру. С точки зрения безопасности, на сегодняшний день разработано множество полезных функций.

Также пакетный фильтр является неотъемлемой частью межсетевого экрана. Однако главная особенность NGFW — возможность детектировать приложения, разбирая их достаточно подробно. Например, межсетевой экран нового поколения может уведомить администратора или SOC заказчика о загрузке определенного файла на Яндекс.Диск. Кроме того, мы интегрировали сложные элементы, такие как Intrusion Prevention System (система предотвращения вторжений) и механизмы обнаружения вторжений. Плюс популярна среди заказчиков URL‑фильтрация, что позволяет эффективно защищать сети от различных угроз.

А определение по пользователям у вас есть?

Конечно, у нас есть коннекторы для подключения к Active Directory и классическому OpenLDAP. У клиентов могут возникнуть вопросы, связанные с замещением каталогов пользователей. Мы следим за тенденциями рынка и, как только определится наиболее популярный российский каталог, предоставим инструкции, инструменты и все необходимые компоненты для эффективной интеграции с выбранными каталогами.

А не лишние ли это функции из‑за того, что в целом такие вещи бывают обычно на прокси‑сервере?

Прокси‑сервер — это уже устаревшая технология для обеспечения безопасного доступа в интернет для пользователей. Межсетевой экран нового поколения является более универсальным инструментом, так как он может обеспечивать доступ не только для пользовательского сегмента, но и для сегментов с приложениями, сервисами и другими ресурсами. Экономически более эффективно иметь одно устройство, которое решает задачи предоставления доступа к приложениям, сервисам и пользователям в интернет. Все это делается в одном управленческом домене.

Я правильно понимаю, что ваш NGFW — это по сути два решения. Это ПАК, именно программно‑аппаратный комплекс, и чисто программные решения. Или в сторону программного решения пока не думали?

Когда мы говорим про российский рынок, то NGFW по большей части рассматривают только как программно‑аппаратный комплекс. Это отчасти обусловлено законодательством, которое требует, чтобы межсетевые экраны уровня сети были реализованы именно в формате ПАКа. Вторая часть ответа заключается в том, что во время проведения Customer Development заказчики высказались, что межсетевой экран нового поколения должен быть выполнен в виде аппаратного решения, что привычно для российского потребителя. Однако мы обеспечиваем возможность применения нашего ПО на KVM и ESXi.

Отдельно хочется подчеркнуть важность KVM. В условиях тренда на импортозамещение сред виртуализации наша совместимость с KVM средами позволит клиентам, которые уже находятся в процессе импортозамещения среды виртуализации или планируют это сделать, использовать наш продукт и в таких сценариях.

У вас есть методика тестирования NGFW? Она будет опубликована или уже опубликована?

При необходимости мы предоставляем заказчикам методику тестирования. Она позволяет проверять все режимы работы межсетевого экрана при различных сценариях. В целом, методика доступна для всех желающих. Также стоит отметить, что наши нагрузочные тесты полностью открыты и выложены на нашем сайте. Мы ничего не скрываем.

А поставщик аппаратной части у вас российский?

Контрактная разработка осуществляется на российских заводах. Для младших платформ — мы владеем рабочей конструкторской документацией. Уже получены сертификаты, подтверждающие, что производителем платформы и ПАКов является Positive Technologies. Все платформы разрабатываются специально для PT NGFW и учитывают специфику данного класса продуктов.

В случае возникновения проблем с ПАКом заказчик всегда может обратиться в техническую поддержку Positive Technologies. Мы предоставляем авансовую замену и отгрузку со склада на следующий календарный день, включая выходные и праздничные дни.

А на какой платформе вы разрабатывали ваш NGFW?

Когда мы начали разрабатывать платформы на базе Intel Scalable Gen4, в России не было подходящих предложений. Помимо процессора Gen4, DDR5 и последнего PCI, у нас были строгие требования к форм‑фактору. Платформа должна была устанавливаться в стандартную телекоммуникационную стойку глубиной 60 см.

Стандартные платформы двухюнитовые, но дело не в юнитах, а в глубине. Классические сервера общего назначения глубокие, а телекоммуникационные стойки имеют ограниченное пространство — 60 см в глубину. А нам требовался сервер в форм‑факторе Short Depth, и сейчас у нас есть полностью готовые платформы глубиной 58 см, чтобы они идеально вписывались в стойки.

Также были требования по двум блокам питания на всех платформах и по расположению всех портов на фронтальной панели с высокой плотностью сетевых карт. Диски нам были не нужны в большом количестве, поэтому стандартный сервер не подходил.

Именно поэтому мы перешли к контрактной разработке. Ничего готового не нашлось. То есть мы сами придумали, сами оплатили, сами производим и сами страдаем, потому что аппаратный путь — это всегда сложный путь (<смеется>).

Были ли у вас какие‑то тесты российских процессоров для вашего NGFW?

Мы изучили «Байкал» и «Эльбрус». Но ARM, на наш взгляд, бесперспективен в текущей парадигме, потому что это лицензируемая западными странами технология. А «Эльбрусы» тяжело производить, их делают в очень малых количествах, купить для тестов и других целей — довольно непростая задача.

Мы с интересом смотрим на реализации RISC-5 процессоров. Но сейчас видим только процессор, предназначенный для планшетников. Мы будем внимательно следить за успехами разработчиков процессоров на базе RISC-5.

А вот текущие ветки, такие как «Эльбрус» и «Байкал», не получится приобрести в таком объёме для производства NGFW, и мы даже не стали тратить на это время.

Насколько сложно настраивать ваше решение обычному системному администратору, офицеру информационной безопасности? Например, в случае с той же самой Cisco периодически надо лезть в консоль.

Наши пресейл‑инженеры провели уже довольно много демонстраций интерфейса управления межсетевым экраном нового поколения, и я считаю это нашей небольшой, но важной победой. Когда клиент в начале встречи говорит, что он использует Fortinet или Palo Alto, а в конце: «Да, мне это всё знакомо и понятно, я то же самое видел на Fortinet и Palo Alto», — это значит, что мы достигли своей цели.

Мы провели множество исследований, чтобы графический интерфейс управления NGFW был понятным и очевидным для тех, кто уже имеет опыт эксплуатации таких решений. Второй важный момент — мы отказались от толстых клиентов управления межсетевыми экранами, чтобы пользователю не пришлось устанавливать дополнительные элементы для управления. Всё, что нужно, — это открыть браузер и веб‑интерфейс межсетевого экрана.

Мы также отказались от сложного тюнинга межсетевого экрана и максимально вывели все функции в графический интерфейс управления. Это обеспечивает два способа управления:

1. Понажимать на кнопочки в интерфейсе управления межсетевым экраном.

2. Управление через API. Мы в разработке придерживаемся подхода API‑first, в котором сначала разрабатывается программный интерфейс взаимодействия с системой управления, а потом для него формируется графический интерфейс для пользователя. Если администратор захочет автоматизировать свои действия или массово администрировать объекты, мы предлагаем открытый API.

Кроме того, мы обсуждаем с клиентами возможные интеграции с существующими наработками, такими как системы менеджмента адресного пространства и сервис‑деск. Мы уже предоставляем самый популярный способ управления через REST API с транспортом HTTPS и payload‑ом в формате JSON, что позволяет представить точно такой же пользовательский опыт, который администраторы получали от западных производителей. CLI тоже будет. Нельзя лишать администратора CLI.

Можно ли ожидать в будущем какие‑то сетевые решения от Positive Technology, или все‑таки вы сосредоточитесь пока на кибербезопасности и на дальнейшей проработке своего NGFW?

После выхода на рынок NGFW мы изучаем возможность выхода на рынок сетевого оборудования. Привлекательными выглядят два направления: коммутаторов и маршрутизаторов. Так как компания уже создала аппаратную платформу как базу для наращивания сетевых функций и хороший фундамент в коде, потенциально новая ниша становится посильной задачей.

Каждый раз, когда я обсуждаю какие‑то специфические «железки», мне хочется самому их протестировать и потрогать. Но возникает проблема — я некомпетентен в таких вопросах. Чтобы стать хоть немного компетентным, мне нужно лет 5–7 долго работать и учиться. Поэтому желание отпадает, но зато появляется желание показать решение, и уже более компетентные люди на основе моего материала решат, брать ли «железку» на тест. Спасибо за прочтение!