Подписаться
Читать в телеграм
/ Для разработки качественного продукта необходимо его 100-процентное покрытие тестами.
/ В первую очередь NGFW нужно правильно интегрировать во внутреннюю сеть, используя широкий сетевой функционал.
/ Для успешного предотвращения атак NGFW использует экранирование, L7-фильтрацию приложений, системы обнаружения вторжений и контроль доступа пользователей.
Межсетевой экран — одно из самых востребованных средств защиты информации в корпоративном сегменте. После ухода западных вендоров ситуация обострилась, многие российские компании поначалу настороженно отнеслись к решениям отечественных производителей NGFW. Но присмотреться к этим продуктам все же стоит, тем более что опыт ряда отечественных вендоров более чем успешен, а их решения применяются в различных отраслях экономики.
UserGate — российский разработчик программного обеспечения и микроэлектроники, который обеспечивает своими решениями информационную безопасность корпоративных сетей в компаниях самого разного размера — от предприятий малого и среднего бизнеса до крупных корпораций с распределенной инфраструктурой. Мы встретились c техническим директором UserGate Александром Кистановым и менеджером по развитию Иваном Черновым, чтобы узнать, как команда вендора смогла создать самый функциональный отечественный NGFW.
— Начнем с начала. Какие задачи ставились перед командой разработчиков при создании NGFW?
Александр: В разное время ставились разные задачи. Продукту уже достаточно много лет. Наверное, самая первая задача, которая стояла перед командой, — догнать и перегнать. То есть догнать по функциональным возможностям зарубежные аналоги. А сейчас, начиная с версии 7.1.0, мы на первое место поставили стабильность и производительность.
— UserGate Next-Generation Firewall позиционируется как самый функциональный NGFW в России. Насколько вы объективны?
Иван: Это действительно можно считать объективным фактом. Различные сравнения и исследования, в том числе исследование компании «Инфосистемы Джет», показали, что на сегодняшний день наш NGFW по широте функционала обгоняет решения остальных отечественных производителей. Нам часто задают вопрос: зачем заказчикам та условная тысяча функций, которые вы предлагаете? Да, тем, кто будет использовать наше решение, может потребоваться не более 50 функций. Но логика очень проста: если заказчику нужны эти самые 50 функций, то с большей долей вероятности они есть у нас, потому что у нас их просто больше, чем у всех остальных. Это означает, что NGFW от UserGate обладает широчайшим функционалом, который позволяет реализовывать проекты в разных условиях, разных сетях, разных конфигурациях, с разными вводными задачами.
Из-за того, что у нас самая широкая инсталляционная база, у нас больше обратной связи, что помогает активно пополнять бэклог разработки. То есть наши заказчики напрямую участвуют в развитии нашего продукта. Мы понимаем, какие задачи ставят клиенты, и быстро реагируем на их запросы, реализуем пожелания на практике.
У нас есть хорошая база и фундамент для развития, а его темпы опережают среднерыночные, что действительно круто.
Александр: При этом мы абсолютно точно понимаем, что можно сделать еще больше. Мы верим, что NGFW версии 7.1.0 — это наиболее стабильный из релизов, который мы выпускали за последние годы, потому что не пренебрегаем проверками качества. Разрабатывая дизайн любой фичи, мы начинаем писать под нее тесты. Таким образом мы обеспечиваем 100-процентное покрытие продукта тестами. Более того, стоит признать, что в нашей компании накопился достаточно большой объем технического долга. Это и покрытие тестами, и баги, о которых мы знаем. Сейчас во главу угла поставлено качество. И до 70% времени разработчиков будем тратить на то, чтобы этот технический долг закрыть.
Нам часто задают вопрос:
Зачем заказчикам та условная тысяча функций, которые вы предлагаете?
Да, тем, кто будет использовать наше решение, может потребоваться не более 50 функций. Но логика проста: если заказчику нужны эти самые 50 функций, то с большей долей вероятности они есть у нас.
Иван: Если раньше, когда мы выпускали версию 6.1.9, у нас было условно 1000 автоматических тестов, то на данный момент у нас более 4000 тестов, и это количество увеличивается, потому что мы тратим те же самые 70% своих усилий на написание тестов.
Александр: Стоит отметить, что наша команда стала больше, и это тоже позволяет нам выделять необходимое количество ресурсов.
— Вы говорите о том, что количество тестов увеличилось в четыре раза. Эти усилия соразмерны результату?
Александр: Безусловно! Это напрямую повлияло на качество. Чем больше тестов, тем больше функционала нашего продукта покрыто. И, соответственно, мы с большей вероятностью увидим и поправим любой баг, который вдруг появился во время разработки, прежде чем продукт выйдет в свет.
— Как NGFW обнаруживает скрытые атаки на ИT-инфраструктуру и реагирует на них?
Александр: NGFW содержит в себе массу механизмов, направленных на то, чтобы обнаруживать явные или скрытые атаки на инфраструктуру. И прежде всего это экранирование, L7-фильтрация приложений, системы обнаружения вторжений, контроль доступа пользователей. Все они созданы для эффективного предотвращения атак.
Иван: То есть на борту устройства достаточно функциональности, которая защищает от самого широкого спектра атак. Однако важно понимать подходы к обеспечению безопасности в конкретном виде бизнеса, в котором необходимо обеспечить защиту. Необходимо выделить критические системы, без которых либо предприятие перестает работать, либо существенно нарушаются бизнес-процессы, либо значительно падает производительность. Если мы понимаем, что имеем дело с технологическим процессом, то есть речь идет о производстве, то в первую очередь необходимо обеспечить его бесперебойную работу. В нашем устройстве предусмотрен модуль защиты, функционал которого позволяет обнаруживать специфические для того или иного производства атаки. Если же наши пользователи активно взаимодействуют с внешними веб-ресурсами (например, с электронной почтой), то есть выходят в интернет, то здесь очень важно не занести внутрь сети ничего вредоносного. Это защита от вредоносного программного обеспечения, от фишинга, от различных хакерских уловок, которые позволяют проникнуть во внутреннюю сеть. Соответственно, наши устройства тоже имеют ряд функций, которые позволяют обнаружить подобные активности и предотвратить атаки.
— Как NGFW интегрируется с другими системами безопасности и сетевыми устройствами в рамках ИТ-архитектуры заказчика?
Иван: Выделим три аспекта взаимодействия. В первую очередь NGFW нужно интегрировать во внутреннюю сеть и при этом ничего не сломать, чтобы все работало так, как задумывалось. Для этого нужен достаточно мощный, широкий сетевой функционал. Это различные настройки по маршрутизации, динамическая маршрутизация, возможность строить VPN-туннели. В общем, есть большой список сетевой функциональности, которая позволит встроиться и интегрироваться в эту сеть. Например, у нас есть возможность строить соединение с устройствами других производителей сетевого оборудования. Если у бизнеса в одном офисе устройство UserGate, а в другом — устройство стороннего производителя, то мы сможем их интегрировать и настроить без проблем.
Второй аспект касается безопасности. С помощью модуля API, в соответствии с протоколом взаимодействия, мы можем объединяться с другими устройствами, которые поддерживают этот протокол, и обмениваться информацией. Например, межсетевой экран обнаружил попытку нелегитимного доступа и может на основе этого события автоматически отправить данные, допустим, в SIEM-систему или в песочницу для анализа либо централизованного управления всей системой безопасности. Также можно настроить соединение, когда со стороннего устройства, с другого средства защиты приходит команда, допустим, заблокировать чей-то компьютер, обозначить сайт как вредоносный или включить вредоносный файл в список антивируса. То есть все это и есть двусторонняя связь с любыми устройствами.
И третий момент — про ИТ в целом. Мы понимаем, что импортозамещение сейчас в стране актуально, и активно поддерживаем технологическое партнерство с российскими производителями в сфере как ИБ, так и ИТ. Например, недавно мы получили сертификат совместимости с продуктами группы компаний Astra. Теперь взаимодействуем с их доменом авторизации и работаем в их системе виртуализации. Это означает, что заказчик, реализуя проекты импортозамещения, может быть уверен в том, что наш NGFW сможет с этой средой взаимодействовать.
В первую очередь NGFW нужно интегрировать во внутреннюю сеть и при этом ничего не сломать, чтобы все работало так, как задумывалось. Для этого нужен достаточно мощный, широкий сетевой функционал. Это различные настройки по маршрутизации, динамическая маршрутизация, возможность строить VPN-туннели.
Иван Чернов
Если мы понимаем, что имеем дело с технологическим процессом, то есть речь идет о производстве, то в первую очередь необходимо обеспечить его бесперебойную работу. В нашем устройстве предусмотрен модуль защиты, функционал которого позволяет обнаруживать специфические для того или иного производства атаки.
— Расскажите об особенностях работы NGFW в различных сегментах бизнеса и других сферах. Вы и с госсектором активно взаимодействуете, и с крупными и средними предприятиями.
Иван: Мы точно знаем, что есть некий общий для всех компаний фундамент обеспечения ИБ, то есть базовая необходимость обеспечить безопасность с точки зрения контроля сетевого доступа, контроля доступа в интернет, контроля приложений. И этот функционал по существу одинаков для всех организаций, хотя и имеет специфику в некоторых отраслях.
Один из вышеупомянутых примеров — это атаки, характерные именно для производства. Существует центр экспертизы, который такие атаки изучает и вкладывает в экспертный пакет данные сигнатуры, различные параметры, для того чтобы это можно было обнаруживать. А, например, для работы с госзаказчиками, медициной, критической инфраструктурой требуется сертификация. Соответственно, мы проводим все необходимые испытания, получаем нужные сертификаты и документы.
Добавлю, что для малого бизнеса предпочтительно иметь устройство универсальное — всё в одном. То есть за небольшие деньги получить многофункциональность, потому что в малом бизнесе проблемы именно с финансированием. Для энтерпрайза нужны большие скорости и, наоборот, специализированные устройства, которые реализуют одну функцию. У нас есть такая возможность с высокой скоростью работы, с конкретно одним каким-то модулем безопасности. То есть специфика учитывается во всех ее вариациях. Межсетевой экран следующего поколения, коим является наше устройство, — это все-таки один из трех базовых элементов защиты инфраструктуры, и он универсален со своими нюансами, которые мы учитываем.
— Существует функционал, который может быть включен дополнительно?
Александр: Когда заказчик приобретает наше устройство, у него почти весь функционал появляется сразу. Это и сетевой экран, и системы обнаружения вторжения, и контент-фильтрация, и различный сетевой функционал.
Дополнительно можно приобрести различные подписки на экспертизу. Контент-фильтр как функционал присутствует. Но, чтобы самостоятельно не вести базу всех сайтов и категорий и получить базу фишинговых ресурсов, можно дополнительно приобрести у нас подписку, и мы предоставим эти ресурсы.
Система обнаружения вторжения тоже есть в базе, но для получения новых данных об угрозах также может потребоваться дополнительная подписка, чтобы обновлять и поддерживать всё в актуальном состоянии. То же самое касается антивируса и защиты почты. То есть это те элементы, которые требуют постоянной поддержки и экспертизы и на развитие которых и работает команда экспертов. Это дополнительные опции. А вот именно базовый функционал на то и базовый, что он есть всегда.
Разрабатывая дизайн любой фичи, мы начинаем писать под нее тесты. Таким образом мы обеспечиваем 100-процентное покрытие продукта тестами.
Александр Кистанов
— UserGate обеспечила защиту ИT-инфраструктуры Министерства цифрового развития и связи Магаданской области с помощью NGFW. Расскажите о проектах, которыми вы гордитесь.
Иван: Мне лично сразу вспоминается тот период, когда мы защищали Универсиаду в Красноярске. Это такой событийный проект, когда надо было в течение ограниченного времени развернуть всю систему защиты и совместно с партнерами и другими производителями стойко выдержать атаки. Интересная история получилась. Но надо понимать, что чем круче проект, чем громче заказчик, тем сложнее добиться публикации такого кейса. Потому что это вопросы безопасности, это очень щепетильная тема. То есть, может быть, мои коллеги сейчас по моим намекам поймут, о каком проекте я говорю. У нас буквально недавно завершился проект просто государственной важности на уровне первых лиц, и это невероятно тяжелая, интересная, крутая история. Однако мы не можем об этом рассказать. Со всеми открытыми кейсами и историями успеха можно ознакомиться на сайте Usergate.com.
Мы верим, что NGFW версии 7.1.0 — это наиболее стабильный из релизов, который мы выпускали за последние годы, потому что не пренебрегаем проверками качества
