Что такое современный NGFW?
Когда на рынке обсуждают NGFW, разговор почти всегда быстро сваливается в привычный чек-лист: IPS есть, контроль приложений есть, URL-фильтрация есть, «песочница» есть, инспекция SSL есть. Как будто ценность продукта исчерпывается перечнем функций из маркетингового буклета. На мой взгляд, это давно не так.
Современный NGFW — это не просто «коробка с безопасностью». Это полноценное сетевое устройство, которое должно жить в реальной инфраструктуре: маршрутизировать, переживать отказ линков, работать с несколькими провайдерами, поддерживать динамическую маршрутизацию, корректно вести себя при асимметричном трафике, не ломаться на сложных политиках и не превращаться в бутылочное горлышко при росте нагрузки. И именно поэтому я обратил внимание на независимое исследование Jet (https://ngfw.jet.su/), в котором отдельно выделены крупные блоки «Сетевые функции», «VPN и SD-WAN», «Отказоустойчивость и кластеризация», а нагрузочное тестирование построено не на абстрактной синтетике, а на EMIX-трафике, близком к реальному корпоративному профилю.
Иными словами, NGFW надо оценивать не только как средство защиты, но и как элемент сети. Это, кстати, очень похоже на старую историю со сравнением СКЗИ и VPN. Многие до сих пор мыслят так: есть криптография, значит это и есть VPN. Но любой человек, который долго работал с нормальными VPN-решениями корпоративного уровня (а я избалован ими после 18 лет в Cisco), знает: собственно шифрование – это лишь часть задачи. Да, необходимая. Да, критически важная. Но далеко не исчерпывающая.
Потому что пользователь и бизнес сталкиваются не с абстрактным алгоритмом шифрования; пусть и квантово-устойчивым. Они сталкиваются с тем, как решение ведет себя в жизни. Насколько быстро поднимается туннель? Как работает роуминг? Что происходит при смене сети. Есть ли split tunneling? Как передается голос и видео? Как ведет себя VPN на плохом канале? Что будет при деградации линии? Как работает балансировка? Насколько удобно этим управлять в большой распределенной инфраструктуре? То есть в зрелом VPN криптография – это один из модулей, но не весь продукт. Все остальное – это сетевая инженерия, эксплуатация и качество реализации. С NGFW сегодня происходит ровно то же самое.
Без сетевой зрелости NGFW остается демо-коробкой
Очень показательно, что в исследовании Jet среди проверяемых параметров фигурируют не только ИБ-возможности, но и вполне «сетевые» фичи: L2/L3-режимы, Administrative Distance, ECMP, BFD, поддержка BGP и OSPF, VXLAN, LACP, резервирование провайдеров, поведение при асимметричной маршрутизации, а также механизмы мониторинга линков. То есть проверяется не просто способность фильтровать трафик с точки зрения ИБ, а способность устройства быть частью настоящей сети, а не лабораторной витрины. И это правильно. Потому что в реальной инфраструктуре NGFW редко стоит «сам по себе». Он почти всегда встроен в сложную живую среду, где есть несколько каналов связи, резервирование, динамическая маршрутизация, миграции, филиалы, облака, удаленные пользователи, VoIP, мультимедиа, разные классы трафика, нестабильные каналы и вечное наследие прошлых архитектурных решений.
Поэтому вопрос «есть ли в продукте IPS?» важен, но недостаточен. Куда важнее следующий набор вопросов:
- Выдержит ли устройство рост числа правил?
- Не провалится ли производительность, когда политика станет по-настоящему большой?
- Не начнут ли отдельные модули безопасности «съедать» пропускную способность так, что бизнес фактически купит себе новый choke point (не путать с check point)?
- Что будет не на красивой демонстрации, а в инфраструктуре крупной компании, где правил не 30 и не 300, а тысячи?
Исследование Jet здесь особенно полезно тем, что в нем непредвзято и прямо говорится, что на результат влияют не только включенные модули, но и настройки правил МСЭ, их количество и широта, особенно для SSL Inspection, AppControl и похожих механизмов. И это уже не про сравнение по уровню сертификации ФСТЭК или времени нахождения разработчика на рынке.
Не наличие функций, а цена их включения
Вообще, одна из самых опасных иллюзий рынка и некоторых ИБ-специалистов – считать, что функциональность существует отдельно от производительности. Не существует. Любая функция безопасности имеет цену. Вопрос только в том, когда и как эта цена проявится. На стенде? В пилоте? На этапе промышленной эксплуатации? После добавления двух тысяч новых правил? После включения еще одного модуля инспекции? После перехода с «почти пустой» политики на реальную, накопленную за годы, и оставшуюся после ухода Cisco, Fortinet, Palo Alto с нашего рынка?
Именно поэтому мне близок подход, когда NGFW оценивают не в стиле «есть/нет», а в стиле «что происходит с устройством при усложнении реальной конфигурации». В исследовании это демонстрируется очень наглядно: для ряда решений показатели сравниваются на сценариях с 200, 2000, 5000 и 10000 правилами МСЭ, а также с добавлением NAT-правил. При этом поведение решений разное: у части платформ рост числа правил почти не влияет на пропускную способность, а у части деградация уже весьма заметна. Например, в опубликованных результатах для одного NGFW значения в этих сценариях остаются почти на одном уровне, тогда как у некоторых других решений наблюдается существенное падение, а для одного из продуктов тестирование на 10000 правил вообще не проводилось из-за длительной компиляции правил фильтрации. Вот это и есть зрелость продукта, которая не определяется давностью нахождения на рынке. Не когда в презентации написано «масштабирование корпоративного уровня», а когда ты действительно видишь, что усложнение политики не убивает устройство.
Потому что для крупной инфраструктуры правило «производительность не должна драматически падать при росте числа правил» – это не из серии «неплохо бы», а практическое требование. Иначе однажды команда безопасности окажется перед сложным выбором: либо сохранять уровень контроля, но душить сеть (оставьте это Роскомнадзору), либо держать приемлемую производительность, отказываясь от части проверок и детализации политик. Это плохой выбор. Зрелый NGFW должен избавлять от него, а не создавать его.
Предсказуемость под реальной нагрузкой
Еще одна важная мысль из исследования: нагрузочное тестирование делалось на EMIX-трафике, то есть на трафике, который ближе к реальной корпоративной сети, а не к лабораторной синтетике. Авторы отдельно оговаривают, что абсолютные цифры зависят от профиля трафика и настроек, но считают такой подход более близким к жизни.
Это принципиально. Потому что бизнесу не нужна «сферическая производительность в вакууме». Бизнесу нужна предсказуемость. Ему важно понимать, как NGFW поведет себя именно в его условиях: с его приложениями, с его шаблонами доступа, с его TLS, с его VoIP, с его видеоконференциями, с его удаленкой, с его перегруженными политиками. И тут снова напрашивается аналогия с VPN. На бумаге можно показать красивую скорость шифрования. Но реальный вопрос всегда в другом: что будет с пользователем на плохом Wi-Fi? Что будет в поездке? Что будет, если одновременно надо и шифровать, и держать стабильную сессию, и пропускать голос, и не спустить батарею ноутбука в ноль, и быстро переустанавливать туннель в роуминге или при потере связи?
С NGFW то же самое. Не так важно, какую цифру производительности написали в рекламной листовке. Важнее, как быстро эта цифра «растворится» после включения реальных функций и реальных политик. Кстати, в комментариях к опубликованным результатам Jet есть и очень показательные примеры того, как отдельные модули влияют на итог. В одном из кейсов прямо отмечено, что основное влияние на производительность оказывал модуль контроля приложений. В другом, что без определенных оптимизаций реальная пропускная способность фиксировалась примерно на уровне вдвое ниже опубликованных значений. Это не упрек конкретным продуктам. Это напоминание потребителю: смотреть надо не только на цифру, но и на условия, при которых она получена.
Почему это важно сейчас?
Для российского рынка эта тема стала особенно острой. Долгое время многие относились к NGFW как к набору ИБ-функций, к которым «прилагается» сетевая часть (скорее на сетевые функции мало кто обращал внимание, привыкнув к функционалу Cisco, Check Point, Palo Alto и т.п.). Но в процессе импортозамещения выяснилось, что наоборот, именно сетевая часть проседает и часто становится зоной самой жесткой проверки на зрелость. Маршрутизация, отказоустойчивость, сложные сценарии эксплуатации, большие политики, стабильность при росте нагрузки, корректное поведение в нетривиальных топологиях – все это очень трудно компенсировать слайдами, маркетингом и сертификатами ФСТЭК. Это ИБ-функции можно перечислить, а вот сетевую зрелость надо доказывать.
Именно поэтому подобные открытые сравнительные проекты полезны не только заказчикам, но и самим вендорам. Они постепенно возвращают дискуссию из области лозунгов в область инженерии. Не «есть ли у вас NGFW», а «насколько он готов жить в сложной корпоративной сети». Да, Cisco меня избаловала хорошими сетевыми решениями и я тащу эту логику на любое средство сетевой безопасности, включая и отечественные.
На что смотреть в первую очередь?
Если говорить практично, то при выборе из списка в несколько десятков NGFW (хотя он и сокращается в последнее время) я бы советовал смотреть не только на наличие IPS, URL-фильтрацию, AppControl и прочих привычных модулей. Я бы смотрел на шесть вещей.
- Первое – сетевой фундамент: режимы работы, маршрутизация, протоколы, работа с несколькими провайдерами, отказоустойчивость, поведение при асимметрии.
- Второе – производительность под реальным профилем трафика, а не по абстрактному бенчмарку.
- Третье – деградация производительности при росте числа правил и включении дополнительных модулей инспекции.
- Четвертое – предсказуемость поведения в нетривиальных сценариях: failover, деградация канала, переключение, кластер, резервирование.
- Пятое – эксплуатационная зрелость: централизованное управление, резервное копирование, миграция политик, удобство сопровождения.
- И шестое – честность вендора в разговоре о границах применимости продукта. Сорри, гайз, но лучше иногда мешки ворочать.
Резюмируя
Современный NGFW – это уже не просто средство защиты, в которое «добавили сеть». Это сетевое устройство, в которое «встроили безопасность». И оценивать его надо именно так. Ровно как с VPN: если смотреть только на криптографию, можно не заметить, что настоящая ценность решения вообще-то в том, как оно работает в реальной сети, с реальными пользователями, под реальной нагрузкой и в реальных сценариях, отличных от «точка-точка» (это утверждение про VPN стало особенно актуально в последние месяцы тотальной охоты РКН за средствами обхода блокировок). Так и с NGFW. Проверять ИБ-функции необходимо. Но зрелость продукта сегодня все чаще определяется не тем, что он умеет по словам вендора, а тем, как он ведет себя, когда всем этим действительно начинают пользоваться.
Я осознанно не стал упоминать никаких названий продуктов и вендоров, чтобы каждый мог сделать свои собственные выводы о мной написанном применительно к таблицам независимых тестов NGFW от Jet. И пусть победит достойнейший!
