Positive Technologies

Какой NGFW нужен российским компаниям

Какой NGFW нужен российским компаниям

Многие зарубежные производители решений для безопасности (Palo Alto, Fortinet, Cisco) ушли с российского рынка. Компании вынуждены рассматривать российские системы, планировать переход, внедрять и использовать их. Остро встает вопрос о выборе решений, которые напрямую влияют на работоспособность бизнеса. Это периметровые системы безопасности — next-generation firewall. От NGFW зависят доступность интернета для корпоративных пользователей, пропускная способность и скорость доступа к внешним ресурсам, а главное — защита периметра компании от внешних угроз. Мы провели исследование и выяснили, как компании справляются с новым вызовом и что для них важно при выборе межсетевого экрана нового поколения.

Цель исследования — узнать, с какими проблемами сталкиваются компании при решении задач доступности сетевой инфраструктуры и сетевой безопасности, а также какие функции NGFW важны в первую очередь, а какие второстепенны. Собранные данные помогут нам как создателям собственного межсетевого экрана нового поколения приоритизировать бэклог и создать по-настоящему удобную и высокопроизводительную систему.

Факты об опросе

Апрель-июль 2023 г.
В ИТ- и ИБ-СМИ, ТГ-каналах
~250 человек
ИТ- и ИБ-специалисты российских компаний

Масштаб компаний — участников опроса

Крупный бизнес >5000 пользователей
Средний бизнес 250-5000 пользователей
Малый бизнес <250 пользователей

ИБ-специалистам нужна качественная коробочная экспертиза NGFW

Ключевые результаты

  • 30% опрошенных отмечают низкую производительность. Компаниям не хватает производительного и надежного NGFW, который может полностью заменить зарубежных лидеров.
  • 31% не удовлетворены качеством обнаружения сетевых угроз. Хороший NGFW обязан быстро и регулярно получать свежую экспертизу для защиты бизнеса от внешних угроз. Больше всего за экспертизу переживают телеком-, ИТ-компании и кредитно-финансовые организации. ИБ-специалистам не хватает качественной коробочной экспертизы, которая является одним из ключевых показателей надежного NGFW.
  • 25% опрошенных недовольны количеством поддерживаемых режимов работы и протоколов маршрутизации межсетевых экранов. Среди них можно выделить промышленность, кредитно-финансовые организации и государственные структуры. NGFW применяется не только для защиты периметра, но и для внутренней сегментации сетей и обеспечения каналов связи между корпоративной сетью и ЦОД.
  • 25% отмечают сложности при администрировании межсетевых экранов.
  • 75% компаний используют аппаратный межсетевой экран, а 50% — ещё и виртуальные машины. NGFW должен поставляться в нескольких форм-факторах, позволяя бизнесу выбрать подходящий.

Участники опроса

Рис. 1. Отраслевая принадлежность участников опроса
Рис. 2. Масштаб компаний — участников опроса

Чем защищают периметр

Рис. 3. Решения, используемые для защиты периметра компаний (респонденты могли выбрать несколько вариантов одновременно)

Для защиты периметра существуют разные средства безопасности. Это бесплатные инструменты с открытым исходным кодом, классические файрволы или firewall L4, прокси-серверы и NGFW. Бесплатные инструменты никто не рассматривает как самостоятельное решение для безопасности периметра. Чаще всего они используются в сочетании с NGFW в ИТ-компаниях. У них достаточно ресурсов и квалифицированных кадров, которые могут адаптировать системы с открытым исходным кодом для решения своих задач.

Классические файрволы фильтруют трафик до транспортного уровня и блокируют сессии на основе IP-адреса, порта и транспортного протокола TCP и UDP. Чаще всего они встречаются в небольших ИТ-компаниях и государственных организациях среднего звена. L4-фильтрация позволяет получить максимальную скорость обработки трафика, минимальные задержки в сети, но не может сегментировать пользователей, группы и приложения. Классический межсетевой экран обеспечивает базовую защиту и не способен защитить от современных угроз.

Прокси-сервер используют после межсетевого экрана. Он контролирует и ограничивает доступ внутренних пользователей к веб-ресурсам и расшифровывает SSL- и TLS-трафик. Опрос показал, что чаще всего прокси-серверы используются в кредитно-финансовых организациях среднего размера, в малых и средних государственных компаниях и в ИТ.

NGFW фильтрует трафик на уровне приложений, пользователей и групп и решает задачи классического файрвола. Он определяет, какие приложения использует сотрудник, что передается в транзакциях, и блокирует сессии на основе их содержимого, защищая бизнес от продвинутых сетевых угроз. Чаще всего NGFW встречается в ИТ-компаниях, в малых и средних кредитно-финансовых организациях, промышленном бизнесе среднего размера.

Несмотря на то, что NGFW решает задачи сетевой безопасности от канального до прикладного уровня, компании сейчас используют межсетевые экраны нового поколения вместе с дополнительными системами защиты периметра. Классический файрвол в сочетании с NGFW используют в крупных кредитно-финансовых организациях, ИТ-компаниях и промышленности. Комбинируя межсетевые экраны, компании пытаются добиться хорошей производительности. Базовая фильтрация выполняется на периметровом файрволе, а отфильтрованный трафик инспектирует уже NGFW. Внутри сети чаще всего используют обычный файрвол и по умолчанию считают внутреннюю сеть доверенной, а значит, применение профилей IPS внутри сети не требуется.

Как показало наше исследование, NGFW и прокси используют крупные финансовые организации и телеком-компании. Для них важно предоставлять быстрый сервис своим клиентам, проверять и блокировать угрозы в шифрованном трафике на высоких скоростях. Чтобы достичь этого, часть трафика проверяется на NGFW, часть — на прокси.

Такие подходы вызывают вопросы. На самом деле NGFW должен самостоятельно справляться с большими объемами трафика, уметь защищать компанию от атак и применять профили безопасности не только при использовании устройства на периметре, но и на стыке сегментов. Сейчас на рынке наблюдается нехватка высокопроизводительного решения, поэтому компании используют альтернативные варианты и стараются решить проблему с высокими скоростями.

С какими решениями чаще используют NGFW

Финансовый сектор, ИТ-компании, Промышленность — NGFW

ИТ-компании — NGFW + бесплатные инструменты

Финансовый сектор, ИТ-компании, Промышленность — NGFW + классический файрвол

Финансовый сектор, телеком-компании — NGFW + прокси

Обязательные функции в next-generation firewall

NGFW — система на стыке ИТ и ИБ. ИБ-специалисты используют NGFW для настройки политик безопасности, обнаружения и блокирования внешних сетевых угроз, а также для контроля доступа пользователей к приложениям. ИТ-специалисты с помощью NGFW обеспечивают доступность интернет-канала для внутренних пользователей, настраивают маршрутизацию трафика, организуют отказоустойчивые каналы и разграничивают правила доступа к ресурсам с помощью политик. Мы спросили респондентов, какие функции безопасности и сетевые функции NGFW они считают самыми востребованными.

Топ-10 функций безопасности

Ключевая ИБ-задача NGFW — контроль приложений. Для этого в NGFW должна использоваться технология DPI. Она помогает корректно определять протоколы прикладного уровня и разбирать их содержимое. В идеале DPI в NGFW не замедляет обработку потока данных, проводит инспекцию и блокирует угрозы на основе сигнатур IPS. С помощью DPI межсетевой экран нового поколения извлекает передаваемые файлы и отправляет их на анализ в сторонние системы, например в sandbox.

Во всех компаниях контроль приложений занимает лидирующую позицию. Вторая по популярности функция — контроль пользователей. Третье место занимает IPS.

Таблица 1. Рейтинг функций безопасности в NGFW по степени привлекательности для пользователей

Место Функция
1 Application control (контроль приложений)
2 Identity management (контроль пользователей)
3 IPS (система предотвращения вторжений)
4 SSL decryption (расшифровка SSL- и TLS-трафика)
5 Потоковый антивирус
6 Категорирование веб-ресурсов
7 Возможность написания кастомных (собственных) сигнатур
8 DDoS protection (защита от DDoS-атак)
9 Интеграция с SIEM-системой
10 Интеграция с NTA-системой (зеркало)
11 Интеграция с sandbox
Рис. 4. Самые важные функции безопасности в NGFW для бизнеса

Наш опрос показал, что identity management как вторую по степени важности функцию выделяют 27% респондентов в малых компаниях, 25% — в средних и 39% — в крупных.

Контроль пользователей сложная задача в современных сетях. Сейчас в компаниях за конкретным сотрудником крайне редко закрепляется статический IP-адрес. Доступами в инфраструктуре управляют ИТ-специалисты, которые оперируют именами сотрудников и группами на основе бизнес-функций. Следовательно, NGFW обязан осуществлять контроль пользователей и уметь точно определять, какой сотрудник обращается к приложениям в сети.

Третья функция — IPS. В небольших компаниях используют коробочную экспертизу вендора и практически не пишут собственные сигнатуры для IPS-движка. В крупных компаниях специалисты регулярно дополняют экспертизу NGFW собственными сигнатурами и репутационными списками. Скорее всего, это говорит о достаточном уровне экспертизы и наличии специалистов по сетевой безопасности. Так, 30% респондентов выбрали эту функцию в малых компаниях, по 35% — в среднем и крупном бизнесе.

На заметку

Интеграция NGFW со смежными системами не является приоритетным направлением для всех компаний, при этом мнения о минимально необходимой интеграции разделились. Периметровая система безопасности обязана отдавать журналы событий по syslog в SIEM-систему, уметь зеркалировать трафик в систему NTA с помощью технологии SPAN, извлекать и передавать файлы в sandbox по протоколу ICAP. Респонденты отмечают, что NGFW нужно интегрировать сначала с SIEM-системой, а затем с системами NTA и sandbox.

Интеграция NGFW с sandbox и SIEM позволяет видеть все события систем безопасности в едином окне, активно противодействовать внешним атакующим и проактивно реагировать на обнаруженную угрозу за меньшее время.

Топ-3 функций безопасности в NGFW

1 место — контроль приложений
2 место — контроль пользователей
3 место — IPS (система предотвращения вторжений)

Топ-15 ИТ-функций

Одна из ключевых задач NGFW — маршрутизация трафика. Чтобы корректно направлять трафик, необходимо поддерживать статическую и динамическую маршрутизацию, причем в соответствии с технической спецификацией каждого протокола (RFC).

Таблица 2. Рейтинг ИТ-функций NGFW по степени привлекательности для пользователей

Место Функция
1 Маршрутизация трафика (статика и динамика)
2 Централизованное управление через веб-интерфейс
3 HA в режиме работы Active-Active
4 HA в режиме работы Active-Passive
5 Клиентский VPN (remote access)
6 Ролевая модель доступа
7 VPN IPSec
8 Контроль состояния оборудования по SNMP
9 EtherChannel
10 Локальное администрирование через веб-интерфейс
11 VPN ГОСТ
12 Горизонтальное масштабирование
13 Гибкие варианты использования (маршрутизатор, коммутатор, мост)
14 Настраиваемый приоритет обработки трафика (quality of service)
15 Балансировка нагрузки
Рис. 5. Топ-5 функций NGFW
Топ-3 ИТ-функций в NGFW

1 место — маршрутизация трафика
2 место — централизованная система управления
3 место — поддержка отказоустойчивой конфигурации

Большинство респондентов в среднем и малом бизнесе отмечают маршрутизацию трафика. При этом количество поддерживаемых протоколов для динамической маршрутизации не так уж и важно. Для небольших компаний с численностью до 250 сотрудников маршрутизация занимает уверенное первое место из 15 предложенных на выбор функций.

В среднем бизнесе ситуация с маршрутизацией аналогичная. Достаточно поддерживать наиболее популярные протоколы, которые уже используются в инфраструктуре, для потенциальной миграции на другое решение.

Первое место в крупном бизнесе занимает централизованная система управления. Без такой системы сложно управлять несколькими независимыми NGFW в разных сегментах сети, а значит, возникают дополнительные расходы на администрирование и поддержку для ИТ. В крупном бизнесе есть географически распределенные площадки, соответственно, управлять ими без единой системы затратно.

Отказоустойчивость и кластеры высокой доступности чаще выбирают в крупных и средних компаниях. Бизнес развивается, и необходимо обеспечивать надежность доступа без простоя сервисов для сотрудников.

В компаниях применяются разные режимы кластера HA. Например, в небольших компаниях приоритет отдается Active-Active, а в средних и крупных соблюдается паритет между Active-Passive и Active-Active.

Проблемы и ограничения современных NGFW

В идеале NGFW должен быть незаметен для обычного пользователя. Но отсутствие проблем с NGFW отметило лишь 16% опрошенных.

Отсутствие проблем с NGFW отметило лишь 16% опрошенных

Рис. 6. Проблемы и ограничения современных NGFW (респонденты могли выбрать несколько вариантов одновременно)

30% опрошенных утверждают, что их межсетевой экран недостаточно производителен, а еще 30% отмечают недостаточную стабильность. В каждой компании используется разный набор приложений и сервисов. От этого набора будет зависеть профиль трафика, который должен обрабатывать NGFW, причем на нужных скоростях. Чем разнообразнее профиль, тем труднее NGFW обеспечивать высокую пропускную способность и фильтровать поток. Некоторые межсетевые экраны сильно завязаны на количество включенных модулей безопасности и теряют свои показатели при большом количестве правил фильтрации, политик безопасности или модулей ИБ.

31% не удовлетворены качеством обнаруживаемых угроз. NGFW — первая система безопасности, которая препятствует проникновению злоумышленника в инфраструктуру компании. Атакующие знают, что компании используют периметровые системы безопасности, и поэтому регулярно совершенствуют инструментарий для атак, используют новые способы проникновения. NGFW должен отражать массовые атаки, регулярно получать обновления экспертизы и помогать защищать бизнес от действий хакеров.

В современных NGFW 20% пользователей также отмечают малое количество определяемых приложений. В межсетевых экранах используется движок DPI, который определяет лишь основные типы приложений и разбирает (парсит) их трафик. Специфичные для российского рынка приложения приходится либо определять вручную, либо просить производителя решений добавить парсеры для определения и разбора потока данных.

Для 25% опрошенных недостаточно поддерживаемых режимов работы и протоколов маршрутизации их межсетевых экранов. Мировые лидеры — производители файрволов, как правило, предлагают несколько вариантов использования: прозрачный мост, коммутатор (L2), маршрутизатор (L3). В зависимости от выбранного режима работы меняются производительность решения и выполняемый набор задач. Чем больше режимов работы поддерживает межсетевой экран, тем проще его использовать под разные задачи. Например, на внутренних сегментах сети в некоторых случаях достаточно использовать L4-файрвол. Так как это внутренняя сеть, изначально это сеть доверенная. Применение профилей IPS чаще всего не требуется. Поэтому L4-файрвол сохраняет пропускную способность каналов и при этом выполняет базовую фильтрацию трафика, разделяя сегменты. Маршрутизация трафика — одна из основных задач периметровых систем безопасности. При отсутствии используемого ранее протокола маршрутизации необходимо перестраивать всю сеть, что, в свою очередь, ведет к увеличению ресурсопотребления и дополнительным тратам. Важно отметить, что NGFW должен поддерживать маршрутизацию по RFC и, в зависимости от протокола, соблюдать таймеры, форматы сообщений и метрики.

Чуть больше 25% опрошенных отмечают сложное администрирование. Это говорит о том, что бизнесу необходимо тратить дополнительные ресурсы на обучение персонала, и требуется время, чтобы начать использовать систему по максимуму. Нетривиальное расположение элементов управления в интерфейсе, отсутствие необходимых функций в «привычных местах» в системе управления замедляют ее настройку и, как следствие, могут стать причиной недоступности приложений или проблем с доступами в корпоративной сети.

Форм-фактор

Аппаратные и виртуальные решения используются чаще всего. Чем крупнее компания, тем чаще предпочтение отдается «железным» NGFW. В небольших и средних компаниях соблюдается паритет между виртуальным и аппаратным исполнением.

Рис. 7. Предпочтения по форм-фактору

Крупный бизнес практически не использует облачные NGFW; компании до 5000 человек неохотно пользуются таким сервисом. При этом крупный бизнес постепенно переходит к облакам — ведет подготовительную работу к переезду. Как только бизнес-сервисы переедут в облака, спрос на облачные NGFW начнет расти.

Отметим, что облачных NGFW российского производства сейчас на рынке практически нет. Но, возможно, через несколько лет облака станут популярны, поэтому стоит обратить внимание на это направление.

Чем крупнее компания, тем чаще предпочтение отдается железным NGFW. В небольших и средних компаниях соблюдается паритет между виртуальным и аппаратным исполнением.

Следите за разработкой NGFW от Positive Technologies в реалити-шоу «NGFW за стеклом».