Межсетевой экран следующего поколения (NGFW): критерии выбора

Автор: Денис Батранков, советник по безопасности корпоративных сетей.

Существует три главных критерия выбора межсетевых экранов нового поколения (NGFW): качество, цена и производительность.

Есть еще такие критерии как удобство управления, стабильность работы, существующие интеграции, наличие обученных инженеров, уровни техподдержки, страна-производитель, санкции, сертификация, поддержка русских приложений и русских URL, возможность работы без подписок, и эти критерии я буду тоже постепенно рассматривать. Начнем с основных.

Качество защиты NGFW

Качество защиты определяется набором встроенного функционала и качеством работы каждой отдельной функции. Преимуществом NGFW является то, что здесь один функционал дополняет другой. Например, инспекция приложений дополняет IPS, или песочница помогает URL фильтрации и так далее. По качеству выбирать просто: существуют публичные независимые тесты лаборатории NSS Labs, где тестируется эффективность защиты NGFW. NSS в основном проверяет движок системы предотвращения атак (IPS). Согласно последнему групповому тесту 12 различных производителей, которые провела NSS Labs в 2019 году, лидером по эффективности защиты является Palo Alto Networks, с результатом 97,9%. Если посмотреть на весь список, то пятерка лидеров выглядит так в порядке убывания эффективности защиты:

1. Palo Alto Networks
2. Check Point
3. WatchGuard
4. Forcepoint
5. Huawei

Сами результаты тестов NSS Labs стоят 4500$ и их нужно покупать у NSS Labs (подробнее). И также можно воспользоваться лайфхаком: вызвать к себе на встречу представителя любого вендора и они показывают тесты NSS labs своим заказчикам бесплатно.

Однако IPS не единственный критерий, по которому стоит судить о качестве NGFW. Перечислю функционал, который должен быть в современном NGFW.

• Сетевые функции для интеграции с другим сетевым оборудованием: динамическая маршрутизация и работа с VLAN
• Контроль принадлежности трафика приложениям, включает также блокировку запрещенных туннелей одного приложения в другое (упоминается как App-ID или Application Inspection)
• Контроль принадлежности трафика пользователям, обычно NGFW интегрируется с Active Directory и LDAP (упоминается как User-ID или Identity firewall)
• Работающая политика безопасности, где квалификатором служит имя сотрудника и название приложения
• Контроль типов и имен файлов, передаваемых приложениями (часто входит в функционал DLP)
• Контроль типов данных внутри трафика приложений по шаблонам (часть функционала DLP)
• Контроль сигнатур сетевых атак (упоминается как IPS или СОВ).
• Контроль за известными вирусами (AV), причем антивирус работает с файлами, которые для него собирает декодер из трафика HTTP(S), SMTP(S), POP3(S), IMAP(S), FTP(S), SMB. Антивирус работает либо по сигнатурам, либо по хешам.
• Контроль за неизвестными вирусами (упоминается как песочница или anti-APT). Замечу что песочница работает для протоколов HTTP(S), SMTP(S), POP3(S), IMAP(S), FTP(S), SMB и также для URL в почте. Песочница работает либо по сигнатурам, либо по хешам.
• Контроль за известными программами удаленного управления и слежения за компьютерами (упоминается как Anti-Spyware или Anti-Bot)
• Контроль за известными бот-сетями и вредоносными IP, URL (упоминается как Threat Intelligence)
• Контроль за известными бот-сетями и вредоносными DNS (DNS Sinkholing)
• Контроль за подключениями к динамически создаваемым доменам DNS (DGA)
• Контроль за посещаемыми категориями URL (URL filtering). В сети выявлена часть категорий для обхода URL фильтрации.
• Расшифрование SSL и контроль всеми перечисленными функциями трафика внутри SSL.
• Расшифрование SSH и блокировка туннелей
• Работа как VPN шлюза по IPSEC или SSL VPN
• DoS защита на основе статистики соединений
• Правила политики безопасности, где критерием принятия решения о разрешении является зона безопасности, IP адреса, приложение, пользователь и настройки его устройства
• Контроль всех действий администраторов на самом NGFW
• Подробные журналы с нужным набором событий по всем вышеперечисленным функциям. Это, пожалуй, самый важный критерий, потому что только по журналам и их точности и оценивается качество.

Цена NGFW

Часть заказчиков при выборе производителя NGFW исходят из цены. Здесь я обрадую: все производители в последнее время стоят одинаково. Если у производителя функций меньше и его качество хуже, то он все равно просит денег как лучший NGFW. Да, производители после торгов выдают разную скидку, но точно цены не отличаются в 2-3 раза больше, как это сейчас на рынке автомобилей или недвижимости. Одновременно качественно, дешево и быстро не бывает – таких продуктов нет ни в какой отрасли. Если вам предлагают такое чудо, то стоит поискать подвох. Для примера, часто производители завышают свою производительность, чтобы показать, что другие производители дороже, поэтому нужно быть осторожным выбирая NGFW по datasheet. На бумаге вы купите быстрое устройство, а в реальности – в 2-3 раза медленнее. Что означает, что вы переплатили производителю в 2-3 раза и не купили настоящее устройство, которое выдержит требуемую нагрузку. Иногда возникает вопрос, а почему именно NGFW: ведь можно купить нужную защиту по отдельности: антивирус, веб фильтр, IPS, песочницу и др. Тут рынок уже дал ответ – когда мы покупаем по отдельности, то получается еще дороже. Поэтому купить NGFW дешевле. Вашим критерием должна быть не цена, а ценность. Важно понимать, какие функции защиты актуальны для вашей компании. И нужно оценить сможет ли купленное устройство это реализовать. На периметре Интернет у предприятия обычно 200-400 различных приложений и все они требуют индивидуального подхода. В ЦОД работает около 50 различных приложений. Кому-то нужно защищаться от криптолокера в SMB или электронной почте, кому-то защищать уязвимости в голосовом трафике, кому-то блокировать атаки на WEB сервера, кому-то анализировать SQL запросы к базам данных. И когда у вас есть список приложений, которые вы хотите защитить – уже можно переходить к подбору конкретных моделей. И прийти с вашими требованиями к производителю. Скорость любого NGFW в первую очередь зависит от набора ваших приложений, которые он будет инспектировать и тех функций защиты, которые будут включены в устройстве. Основной принцип ценообразования: чем больше сложных функций безопасности вы хотите получить в одном устройств, тем дороже NGFW (потому что это требует дополнительных подписок и разработки) и тем медленнее он работает (потому что в одну секунду ему требуется сделать больше работы). Например, приложения SMB, FTP, Skype являются сложными для анализа файлов и поэтому устройство надо покупать мощнее и, соответственно, дороже.

Скорость NGFW

У каждого производителя обычно есть набор моделей под разные скорости с разной ценой. Обычно логика простая: в 2 раза быстрее устройство стоит в 2 раза дороже.

И по идее все поставщики пишут данные о своей производительности для того, чтобы заказчики могли подобрать устройство в сравнении моделей друг с другом и затем сравнили цены для одной и той же скорости. Те принципы выбора, которые используются для свитчей и роутеров уже нельзя использовать, поскольку роутеры пакеты не собирают в файлы и не анализируют. Представьте, что вы хотите смотреть вирусы в SMTP: там файлы передаются в форматe BASE64, который надо собрать в единый поток из фреймов и перекодировать в бинарный вид, чтобы проверить сигнатурами. А для FTP проще – там файлы сразу передаются в бинарном виде. Поэтому основными двумя параметрами, которые влияют на производительность: какие приложения надо анализировать и каким функционалом. Например, если одно и то же устройство настроить проверять файлы всеми сигнатурами своими, а потом только половиной своих сигнатур – это значит оно будет в 2 раза быстрее самого себя, хотя вы лишь просто поменяли функционал. Продвинутые производители добавляют в устройство для проверки сигнатур специализированные чипы ускорения ASIC и FPGA. Их преимущество в том, что на них не влияет число включенных сигнатур– они одинаковы быстры с 1% и с 100% включенных сигнатур. Также как в играх используют графические ускорители, в безопасности тоже можно выделить часть функций на специализированные чипы.

Сравнивать производительность NGFW по datasheet некорректно, поскольку производители публикуют скорости на разных приложениях, и с разным включенным функционалом защиты. Возьмем, например, datasheet четырех основных производителей, которые представлены на рыке России: Cisco, Check Point, Fortinet, Palo Alto Networks. И проанализируем основные термины, которые они используют и как эти термины используются.