Иван Чернов, UserGate - о перспективах первого полноценного российского межсетевого экрана нового поколения
На российском рынке информационной безопасности сложилась достаточно уникальная ситуация, которая определяется дефицитом предложений отечественных вендоров – в частности, в сегменте межсетевых экранов нового поколения. Сегодня, 17 ноября 2022 года – своеобразный «юбилей» старта разработки первого из российских решений такого класса. Тринадцать лет назад UserGate положил начало развития нового направления рынка ИБ в России. TAdviser побеседовал с Иваном Черновым, менеджером по развитию UserGate, об истории и перспективах первого полноценного российского NGFW.
Справка: UserGate NGFW (межсетевой экран нового поколения) является первым устройством, совмещающим в себе систему обнаружения вторжения и межсетевой экран и внесенным в реестр сертифицированных средств защиты информации ФСТЭК России (сертификат № 3905), выполняющим требования к четвертому уровню доверия и включенным в Реестр Российского ПО (№ 1194).
Какова предыстория разработки?
Иван Чернов: Можно достаточно точно определить дату старта этого процесса. 17 ноября 2009 года во внутренней системе постановки задач UserGate (тогда компания называлась Entensys) появилась первая запись на эту тему. Руководители компании приняли стратегическое решение заняться разработкой серьезных серверных решений, а не популярных в то время системных приложений для ОС Windows.
К слову, эволюцию мировых трендов инфобеза принято отслеживать по крупнейшим выставкам и конференциям. Одна из них – самая представительная и громкая по именам участников – британская InfoSecurity – с разницей в несколько лет и показала нам нужный путь развития. Если в конце нулевых номенклатуру определяли в основном известные антивирусы – Doctor Web, Symantec, Kaspersky Lab, Avast, то уже в начале следующего десятилетия, в Лондоне, мы увидели, что место главных драйверов рынка заняли производители межсетевых экранов следующего поколения, признанные сейчас в глобальном смысле лидеры отрасли: Palo Alto, Fortinet, Check Point. Именно тогда нам стало понятно, что за NGFW и собственными разработками – будущее, что UserGate – по-настоящему в тренде. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
Кстати, в процессе создания NGFW мы открыли для себя что это не только базовое и в целом жизненно-важное средство защиты для всех видов сетевой безопасности, но и действительно технологически сложный продукт. Действия хакеров, повышение уровня их изобретательности двигают вперед системы защиты информации, заставляя разработчиков производить решения все более надежными и актуальными, отвечающими современным ожиданиям. Кстати, именно тогда, когда появились антивирусы, кибермошенники стали еще опаснее, потому что им надо было научиться обходить антивирусные сервисы. И именно тогда, в 2009 году, плотно общаясь с заказчиками, изучая их актуальный опыт и ожидания, мы сделали вывод – антивирусов для защиты стало недостаточно, следующий шаг, который необходимо сделать, если хочешь стать технологическим лидером – межсетевые экраны нового поколения, и попали точно в цель.
Иван Чернов: По понятным причинам сейчас мы видим, скорее, дефицит качественных предложений. Все понимают, что российские заказчики оказались перед естественной и объективной необходимостью – переходить на отечественные решения, поэтому так же естественно, что многие российские разработчики направили свои ресурсы и усилия на устранение дефицита. Не всегда это получается.
NGFW — это настолько сложно?
Иван Чернов: UserGate занимается разработкой межсетевых экранов нового поколения тринадцать лет, первые тестовые прототипы для заказчиков появились в 2011 и лишь в 2016 году на рынок был выпущен UserGate NGFW – решение, полностью готовое для внедрения в контур информационной безопасности клиентов.
NGFW – технологически очень сложный продукт, который никак не получится создать за год или два. Безусловно, можно пойти по привычной для многих отечественных вендоров схеме – собрать решение из открытого кода (open source), но качество таких изделий всегда на порядок ниже ожиданий заказчиков. В первую очередь – из-за использования открытого исходного кода, который свободно распространяется и доступен для изменения, а значит особенно опасен именно сейчас, когда вместе с ростом количества атак на российские предприятия и госструктуры увеличиваются и риски появления «закладок» в незащищенном коде, к тому же в открытых библиотеках часто появляются и распространяются серьезные уязвимости. Да и просто невозможно править миллионы строк чужого кода. Получается, открытый код – это, с одной стороны, огромные риски для пользователей и об этом надо помнить, а с другой стороны, технологическое лидерство – это всегда только собственные разработки.
Есть мнение, что ИБ разработчик может «облегчить» себе жизнь и одновременно обеспечить приемлемое качество продукта при помощи DPDK (набор библиотек и оптимизированных драйверов для быстрой обработки пакетов в пользовательском пространстве – прим. ред).
Иван Чернов: Классическая схема open-source-приложений для работы с сетью предусматривает передачу сетевого пакета с сетевой картой сначала в ядро, потом в user-space, потом обратно в ядро и затем – обратно на сетевую карту. Это долго. Поэтому действительно существует соблазн спрямить процессы – делать все в user-space, не тратя времени на ядро, осваивая библиотеки с открытыми кодами, например, DPDK и писать код продукта на уровне user-space. Такая технология позволяет показывать впечатляющие результаты на лабораторных стендах, но все заявленные цифры пропускной способности обычно падают в десятки раз при реальном внедрении.
Программисты серьезных вендоров сразу пишут в ядре, а это значит, что они могут выжать из железа и софта максимум. UserGate обладает и этим умением, и всеми необходимыми ресурсами.
На что, в сущности, влияет разница подходов – писать в ядре или в user-space?
Иван Чернов: Главным образом на производительность, а если точнее – на потенциал ее роста. Те разработчики, которые не пишут в ядре, по определению ограничены в пропускной способности – скоростях продукта. Путь же собственной разработки действительно сложнее и длиннее, но зато он обладает неоспоримыми преимуществами и выгодами для конечных пользователей.
Повторю. Для того, чтобы создать честный полноценный эффективный межсетевой экран следующего поколения, необходимо преодолеть длительный путь, состоящий из своей разработки, экспертизы, тестирования и внедрения собственных уникальных технологий в области микроэлектроники, софта – и, обязательное условие – собственного (проприетарного) уникального исходного кода. Создание и выпуск на рынок настоящего NGFW – это долгий последовательный и поэтапный путь разнообразных сложных многоуровневых экспериментов, множества проб и ошибок.
Межсетевые экраны используются в различных сложных корпоративных сетях заказчиков, а это значит, что разработчик постоянно сталкивается при внедрении с бесчисленным многообразием кейсов, решая которые просто необходимо вносить изменения в продукт. Это значит, что качество решений растет пропорционально пройденному времени внедрения – чем оно дольше, тем качество выше.
Какие модели NGFW UserGate наиболее востребованы? Изменилась ли структура спроса?
Иван Чернов: Да, мы отмечаем, как в первую очередь заметно повысился спрос на старшие модели из линейки нашего оборудования, а именно – высокопроизводительные ПАКи, предназначенные для масштабных и географически распределенных сетей и сложных задач – например, UserGate NGFW F8000. Произошло это потому, что вопросом миграции с импортных решений на отечественные, в первую очередь, озаботился крупный бизнес, на который уход западных производителей повлиял больше всего.
Кстати, многие действующие клиенты UserGate, заранее учитывая возможные риски, уже какое-то время пилотировали UserGate NGFW, что позволило им осуществить миграцию оперативно и безболезненно, а значит без прерывания бизнес-процессов и сопутствующих потерь.
Сейчас, в конце года, мы наблюдаем, как наши потенциальные клиенты из сегмента среднего бизнеса, которые еще несколько месяцев назад занимали выжидательную позицию, осознали её бесперспективность и перешли к действиям. Это заметно по росту спроса на наши программно-аппаратные комплексы меньшей производительности – например, модели UserGate NGFW D200, D500.
Какие функции кроме файрволлинга востребованы в наибольшей степени?
Иван Чернов: Устройства NGFW всегда рассматривают с двух позиций – специалиста по информационной безопасности и сетевого инженера. С точки зрения последнего очень востребована функция маршрутизации, поддержки протоколов OSPF, BGP и RIP. А «безопасники», в первую очередь, помимо файрволлинга, смотрят на функционалы систем обнаружения вторжений, возможность инспекции SSL-трафика, определение приложений на уровне L7 и другие.
На какие результаты по итогам года рассчитываете? Какой прогноз на следующий?
Иван Чернов: К сожалению, в текущей ситуации заказчики, привыкшие ранее к возможности выбора из целого спектра решений, сейчас не имеют, пожалуй, никакого выбора и, если в интересующей их нише ИБ есть хотя бы одно достойное российское решение, это уже можно считать успехом. Мы считаем, что российским разработчикам было бы полезно сконцентрироваться на производстве тех продуктов, на которых они специализируются. Для всего рынка было бы лучше иметь десять производителей, каждый из которых будет выпускать одно гарантированно качественное решение, чем десять проработанных не до конца – это касается и сегмента NGFW. Полагаю, в этой связи, что мы продолжим получать все больше новых запросов на пилотное тестирование платформ UserGate.
Как заказать пилотирование NGFW UserGate?
Иван Чернов: Самое простое – скачать виртуальный образ, заполнив простую заявку на сайте. Практически сразу в своей среде виртуализации вы сможете начать тестировать продукт вместе с полезными подсказками из сопутствующей документации и видео-гайдами. Еще один вариант пилотирования – непосредственно на программно-аппаратном комплексе. Его вы тоже сможете получить, заполнив ту же заявку.
Ознакомиться с функционалом UserGate NGFW и оставить заявку на тестовое пилотирование решения можно на сайте по ссылке.
Андрей Гук, генеральный директор группы компаний «ОБИТ»: Начиная с марта этого года количество запросов на импортозамещение цифровых сервисов от наших клиентов, в особенности представителей крупного бизнеса, выросло на порядок. Значительная их часть приходится на решения в области информационной безопасности – уход иностранных вендоров оставил ИТ-инфраструктуру многих компаний в прямом смысле безоружной против внешних угроз. Однако, в отличие от ряда других направлений, именно в части информационной безопасности нашей стране есть чем ответить на вызовы времени – пример тому решения UserGate, которые представляют собой абсолютно полноценную, на мой взгляд, альтернативу продуктам западных конкурентов. В первую очередь, потому что создавались не в горящем режиме как антикризисный ответ форс-мажорным обстоятельствам, а прошли все стадии цикла разработки сложных технологий
Станислав Калабин, руководитель группы сетевой безопасности центра информационной безопасности «Инфосистемы Джет»: Большинство наших заказчиков очень требовательны к NGFW как в части функционала, так и в части производительности. В условиях возросшего спроса на NGFW отечественного производства мы нашли в лице UserGate надежного партнера, удовлетворяющего большинство текущих потребностей заказчиков. Представленный в продукте функционал реализован не для формального соответствия и включения его в маркетинговые материалы, а для удовлетворения реальных потребностей заказчика.
Типовая архитектура, поддержка внешних протоколов интеграции (ICAP, SNMP, Syslog, Radius) и появившийся в последних версиях консольный доступ обеспечивают огромные возможности по настройке интеграции со смежными продуктами и построению глубокоэшелонированный защиты. Мы осуществляем имплементацию NGFW в сложную и часто уже сложившуюся инфраструктуру заказчика, и для нас, например, важна возможность использовать уже существующую и применяемую для других сервисов систему двухфакторной аутентификации, а не новую, встроенную в NGFW. Другие отечественные вендоры пока не обладают такой гибкостью и такими же техническими возможностями.