NGFW в тренде
NGFW - это просто или сложно?
NGFW в тренде. Когда Palo Alto Networks придумала и реализовала новую методику SP3 безопасного разрешения приложений в 2007 году, то это задало новый "золотой стандарт" построения межсетевых экранов и политик безопасности и упростило защиту сетей. Чтобы к нему подступиться нужно создать свою лабораторию, которая занимается созданием и поставкой сигнатур приложений, атак и вредоносного ПО, TI, проверками файлов в песочнице и прочей динамической начинкой устройств. Затем нужно нанять программистов, которые будут своевременно реализовывать новые технологии, не забывая про параллельно развивающиеся ИТ технологии: контейнеризацию, микросегментацию, SD-WAN, HTTP/2 и др. Всю сложную работу взяли на себя разработчики и исследователи и автоматизировали ее. И это все это упростило жизнь заказчикам.
Через NGFW удобно сделать удаленку!
Тихое пространство рынка NGFW стало самым обсуждаемым сегментом нашей индустрии в последние месяцы, просто потому, что тут есть VPN и подключать сотрудников по VPN, да еще защищать сотрудников через удобный интерфейс - хотел каждый здравомыслящий ИТ специалист во время коронавируса.
А как выбрать NGFW?
Однако, каждый новый производитель, придя на этот рынок, принес свое видение NGFW. Если посмотреть на рекламу, то оказывается есть NGFW без правил по приложениям, или без правил по пользователям. Оказывается скорость NGFW можно измерить, выключив все функции NGFW; скорость HTTPS можно измерить без проверки сертификатов SSL и категории URL. И самое эпическое - оказывается скорость NGFW можно измерить на UDP трафике 1518 байт, куда вы там вирусы запихиваете? )
Все говорят, что они такие же как Palo Alto, только дешевле ;-)
В общем рынок постепенно наполняется чудесами и заказчикам становится все сложнее прорваться сквозь прессинг маркетинга, где им предлагают самые дешевые, самые быстрые и самые качественные устройства все-в-одном. Производителей UTM, которые говорят, что они NGFW уже более 10. Слышу такую фразу: "Мы такие же как Palo Alto, только дешевле". А как проверить это завяление?
Настоящие критерии выбора NGFW
Чтобы "помочь понять продукт лучше" у некоторых производителей datasheet выглядит как набор 20 различных параметров производительности одного и того же устройства в разных режимах и с разными функциями в одном документе. Если сначала все было понятно и была одна скорость (и должна быть сейчас), где измерялась производительность в режиме все включено (помечается как Threat Prevention), то теперь в datasheet черт ногу сломит. Но и даже к этому значению теперь есть вопросы - в каком режиме работы, с какими сигнатурами и на каком трафике было измерено? А какое значение будет на реальном трафике и с нужным реально режимом работы?
Посмотрим на лучшие ресурсы сегодня, где помогают разобраться в NGFW:
✓Проект Anti-Malware провел сравнение различных производителей по функционалу:
✓Хороший набор вопросов к производителям устройств все-в-одном от компании TS Solutions. Их идея: "все производители что-то недоговаривают" ;-) https://habr.com/ru/company/tssolution/blog/324368/
✓Длинная научная статья про критерии подбора NGFW на WikiSec. Используется тест компании IXIA и NSS Labs.
✓Статья по правильным вопросам производителям на SecurityLab
✓Видеозапись выступлений производителей по выбору высокопроизводительного NGFW с участием тестовой лаборатории bi.zone и Anti-Malware, Check Point, Palo Alto Networks, UserGate и Код Безопасности
✓Видеозапись лекции по критериям выбора NGFW по моему 6 летнему опыту работы с ними
✓Подкаст Netwell "Вежливый безопасник", где мы обсудили результаты тестов NSS Labs NGFW и разбирались почему они отличаются от официальных datasheet. Там есть даже призы за конкурс по "datasheet" )
Поскольку во всех этих статьях и вебинарах описаны присутствующие на нашем рынке производители, то я приглашаю делиться своими впечатлениями о различных производителях в комментах и в телеграмм-канале https://t.me/ngfw_russia