При выборе межсетевого экрана или NGFW можно столкнуться с вопросом: что лучше, бесплатное решение на основе Open Source или коммерческое? За что я плачу, если приобретаю Palo Alto Networks, Kerio Control или Ideco UTM?
Попробуем ответить на эти вопросы, а начнем со спойлера – бесплатных решений не бывает.
Бесплатные Open Source решения: где подвох?
Бесплатные МЭ – это готовые OpenSource дистрибутивы для шлюзов, самосборы на Linux/FreeBSD: squid, snort, suricata, netfilter (iptables, firewalld). Примеры МЭ: PfSence, OPNSense, IPFire, NG Firewall и т.д.
Межсетевые экраны нового поколения тоже построены на базе Open Source решений. Например, Palo Alto Networks – лидеры мирового рынка среди МЭ по версии , используют базу Linux 4.18.0-8. Тоже самое у Fortinet (Linux 3.2.16), Kerio Control (Linux 3.16.7) и Ideco UTM (Linux 5.11.9-200).
Напрашивается вывод: зачем платить, если бесплатные и коммерческие МЭ состоят из одних и тех же компонентов? Далее раскрываем смысл спойлера в начале, что бесплатный сыр только в мышеловке.
Да, фактически бесплатные МЭ на базе Open Source успешно выполняют ту же функцию, что и коммерческие решения, а именно – защиту сети от внешних угроз. Но есть ряд нюансов, которые необходимо учесть перед выбором бесплатного МЭ:
Вы так или иначе платите временем и силами на самостоятельную настройку бесплатного решения, что не исключает возможности ошибок и создания рисков безопасности сети;
Часто в этих целях компании вынуждены прибегать к услугам специалистов для получения сторонних консультаций;
Отсутствие техподдержки, которая могла бы оперативно ответить на любой вопрос – опять же трата времени и сил на самостоятельное разрешение задачи;
Усложненный данными нюансами процесс пользования МЭ приводит к простоям из-за сбоев.
Дополнительно к этому, бесплатные решения имеют ряд существенных недостатков:
– плохо обновляемые и маленькие базы URL/IPS/AV;
– сложные интерфейсы;
– отсутствие преемственности, поддержка самосбора “привязана” к настроевшему МЭ специалисту;
– необходимо самостоятельное обслуживание и отсутствует поддержка от компании-разработчика;
– устаревшие компоненты.
Коммерческие решения на основе Open Source
Межсетевые экраны нового поколения – защитное программное обеспечение, которое включает в себя функции традиционных фаерволов и расширенные функции: глубокий контроль трафика и систему обнаружения вторжений.
Главное отличие МЭ нового поколения от бесплатных Open Source решений состоит в автоматизации процессов информационной безопасности, как следствие экономии времени системных администраторов. Коммерческие решения решают проблемы безопасности за клиента: от настройки и внедрения, до дальнейшего сопровождения на этапе пользования.
Ideco UTM – межсетевой экран нового поколения.
Примером МЭ нового поколения является межсетевой экран Ideco UTM.
На чем основано решение? Ideco UTM включает в себя операционную систему, базу Open Source и собственные модули, которые постоянно обновляются, что делает систему гибкой в защите от современных угроз ИБ.
На каждом этапе и в процессе пользования осуществляется ежедневная online техподдержка от вендора. Не надо дополнительно сидеть на форумах, самостоятельно искать ответы или обращаться к сторонним специалистам.
Ideco UTM готов к бою уже «из коробки». Без дополнительных настроек и установок плагинов.
Интеграция с Active Directory. Не нужно вручную устанавливать ПО на каждом компьютере сети.
Удаленное администрирование извне. Можно администрировать сеть, не выходя из дома, что будет актуально для администраторов, выполняющих рабочие обязанности удаленно.
Простота использования и понятный интерфейс. Интуитивный веб-интерфейс, актуальная online-документация и бесплатные консультации инженеров для быстрой и простой адаптации.
Постоянные обновления. Выход новых версий каждые 2-3 месяца с обновлённым функционалом, оптимизацией работы модулей и улучшенным веб-интерфейсом. Все модули обновляются одновременно и бесшовно.
Мощный контент-фильтр. Каждый день краулер собирает текст с 20 млн. сайтов. При помощи тематических моделей LDA и LSI, а также нейросетевых моделей FastText и Doc2Vec Ideco UTM преобразовывает собранный контент на естественном языке в цифровое представление.
Для классификации используются классические интерпретируемые модели (RandomForest или SVM) и многоклассовые нейронные сети с RBF слоем, что позволяет классифицировать контент быстро и точно.
VPN-сервер. Поддержка протоколов WireGuard, IKEv2, SSTP (SSL-VPN) для site-to-site и client-to-site.
Предотвращение вторжений. Автоматическое обнаружение и блокировка атак. Предупреждение подозрительной активности внутри сети.
Сертифицирован ФСТЭК. Ideco UTM ФСТЭК сертифицирован по требованиям к межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений №4503.
Так что лучше? Коммерческий или бесплатный МЭ на основе Open Source?
Представим, что коммерческий МЭ – это коробка-автомат, а бесплатный – ручная коробка. Сложно сказать, что из этого лучше или хуже, так как оба варианта выполняют главную функцию – защиту сети.
Однако только коммерческие решения предлагают сделать процесс защиты информации быстрым, прогнозируемым и автономным.
Принципиальным отличием является и то, что МЭ нового поколения, такие как Ideco UTM создают условия для участия потребителя в улучшении продукта. Общение напрямую с потребителем и своевременная информированность о его потребностях позволяет улучшать и адаптировать продукт под его нужды– это объясняет быстрое развитие Ideco UTM (уже 3 мажорных релиза в 2021 году).
