28 Ноября, 2018

О чем нужно помнить покупая NGFW? Чек-лист

Евгений Ольков


Мы уже публиковали небольшую статью " критерии выбора NGFW ". Здесь же предполагается что вы уже выбрали свой NGFW и собираетесь его покупать. О чем нужно помнить? Как не оступиться на последнем этапе — закупке. На наш взгляд, это очень важный вопрос, т.к. NGFW любого вендора стоит недешево. И если все пойдет не по плану или будет работать не так, как вы ожидали, то у вас могут возникнуть проблемы, как у лица принявшего решение о закупке. В этой статье мы постараемся отразить основные моменты, на которые нужно обратить внимание ПЕРЕД покупкой, а не ПОСЛЕ. Возможно этот небольшой чек-лист поможет вам избежать непредвиденных трат и сохранит и без того потрепанные нервы.

1. Стоимость ежегодного владения


Самый первый пункт, который вы должны проверить. Нужно понимать, что абсолютно любой NGFW нуждается в ежегодном продлении подписок, контрактов, обновлений (разные вендоры называют это по-разному). Для многих это оказывается сюрпризом, что единоразовой покупки недостаточно и каждый год нужно “опять платить”. И главное, без продления подписок самый важный функционал (ради которого NGFW обычно и покупается) перестает работать. Это такие функции как IPS, URL-фильтрация (категории и репутации сайтов), Application Control, Антивирус, Антиспам, Песочница и т.д. Полный перечень зависит от конкретного вендора. Без продления подписок ваш NGFW превращается в обычный межсетевой экран. Хотя нет, необычный, в дико дорогой межсетевой экран. Стоимость ежегодного владения у разных вендоров разная, но как правило она колеблется в районе 30-40% от первоначальной закупки. Помните об этом. Потянет ли это ваш ежегодный бюджет на ИБ/ИТ? Обязательно запросите информацию у вашего партнера о стоимости ежегодного владения. Вообще странно, если партнер не предоставил вам эти цифры по умолчанию.

2. NGFW не решит все проблемы ИБ


Многие воспринимают NGFW как панацею от всех бед с информационной безопасностью. Но это отнюдь не так. NGFW закрывает лишь несколько векторов возможной атаки на вашу сеть. Не существует единого решения, которое гарантировало бы 100% защиту. А если вам кто-то обещает подобное, то он вас просто обманывает, либо сам не до конца понимает о чем говорит. Задача NGFW — максимально сузить площадь атаки. К чему все это? К тому, что не надо забывать про остальные средства защиты. Если у вас вдруг не хватает средств на приобретение NGFW, то не стоит тратить последние деньги и “выгребать” бюджет за счет отказа от других средств защиты, например десктопных антивирусов или системы резервного копирования. Расставьте приоритеты и оцените свои финансовые возможности. ИБ компании начинается далеко не с покупки NGFW. Это лишь дополнительный элемент комплексной защиты. Не ждите волшебных результатов от всего лишь одной “коробки”.

3. «Из коробки» любой NGFW работает крайне плохо


Недавно мы публиковали курс “ Check Point на максимум ”, где показывали как его правильно настроить для максимальной защиты. Попутно мы показали, как просто обойти NGFW с дефолтными настройками. И это касается не только Check Point-а. Та же картина наблюдается с Fortinet-ом, Palo Alto Networks, Cisco Firepower и т.д. (я проводил параллельные тесты). Даже не рассчитывайте что NGFW будет адекватно защищать вашу компанию с дефолтными настройками в пару кликов. NGFW придется настраивать, причем неоднократно, а постоянно, подстраиваясь под меняющиеся угрозы. Не забывайте, что ИБ это не результат, это процесс.

4. Готовьтесь к проблемам и планируйте время


Покупая NGFW стоит приготовиться к техническим сложностям. Даже если вы покупаете его с услугами внедрения. Ни один интегратор не сделает абсолютно всю работу за вас. Так как ИБ это процесс, то придется донастраивать и придется решать возникающие проблемы. И это не потому что NGFW плохой, это потому что у него очень много функций. Чтобы довести все “до ума”, нужно будет затратить приличное количество времени. Иначе вы рискуете остаться с дефолтными настройками, которые не используют и 20% от возможностей NGFW. Чего только стоит настройка SSL-инспекции. Вам придется ее включить, если вы действительно озадачены безопасностью. И вам придется в ручную перебирать сайты и приложения, которые перестают работать после включения инспекции. Никто это за вас не сделает (если конечно у вас не сервисная модель тех. поддержки). Подобные проблемы могут возникать на многих этапах внедрения и эксплуатации NGFW. Из этого вытекают два следующих пункта.

5. Закладывайте бюджет на обучение


NGFW сам по себе довольно сложный продукт. Как бы его не пытались упростить вендоры. В нем сосредоточено очень много функций, есть очень много тонкостей и подводных камней. Не стоит полагать, что вы в момент освоите новый для вас продукт. Поэтому планируя покупку, обязательно планируйте бюджет на обучение сотрудников, которые будут его администрировать. Иногда это можно оформить в рамках одной сделки, либо получить обучение в подарок (все зависит от суммы сделки и лояльности вашего партнера).

6. Техническая поддержка


Вам точно придется обращаться в техническую поддержку и лучше если это будет продуктивно. Должен быть сотрудник, который хорошо общается на английском. Либо рассматривайте вариант тех.поддержки от российских партнеров. Уделите этому вопросу самое пристальное внимание. Иначе вы рискуете остаться один на один со своими проблемами. Иногда вопрос технической поддержки оказывается решающим фактором при выборе партнера или даже вендора.

7. Детально изучите вопрос лицензирования


Очень частая ситуация. Проводится пилотный проект, вам показывают как все красиво и функционально. Однако сделав покупку вы обнаруживаете, что вам доступен не весь функционал. Нет отчетов, которые вам показывали изначально, не работает песочница, удаленные пользователи не могут подключиться, нет централизованного управления и т.д. Безусловно, это задача вашего партнера — понять ваши задачи, сформировать правильную спецификацию и рассказать про возможные ограничения или дополнения. Это уже вопрос доверия. Но есть хорошая поговорка: “Доверяй, но проверяй”. Думаю будет очень неприятно идти к руководству за еще одним бюджетом, сразу после покупки.

8. Покупка без тестов


Без пилотного проекта вы можете потом пенять только на себя (ну и ругаться на партнера, который вас “подставил”). Не стоит серьезно относиться к маркетинговым буклетам. Очень желательно провести хотя бы несколько тестов перед покупкой. И самый главный тест — реальная производительность устройства на вашем реальном трафике. Это очень важно. Нельзя верить даташитам на устройства, где пишут фантастические показатели по производительности. К сожалению этим грешат абсолютно все вендоры. Если у вас нет времени на подобные тесты, то остается надеяться лишь на опыт вашего партнера, который будет предлагать варианты.

9. Выбирайте модель с учетом HTTPS-инспекции


Еще один пункт, про который многие забывают при выборе модели. SSL-инспекция это серьезная дополнительная нагрузка на ваш NGFW. Многие в попытке сэкономить выбирают модель, производительности которой хватает впритык, при этом напрочь забывая по HTTPS трафик. А включив SSL-инспекцию обнаруживают, что их шлюз “захлебывается”. Повторю в очередной раз: “Без HTTPS-инспекции ваш NGFW абсолютно бесполезен”. Я уже демонстрировал это в одном из своих уроков. Так что обязательно учитывайте дополнительную нагрузку на устройство в виде SSL-инспекции. Иначе вы просто выкинете деньги на ветер.

10. Покупка у “привычного” партнера


Типичная ошибка при покупке NGFW — покупать у “привычного” поставщика. Уверен, что почти у каждой компании есть партнер, который “уже давно” поставляет какие-то IT продукты. С ним работать удобно и понятно. Только вот NGFW это ни сервер, ни коммутатор и уж точно ни степлер, которые можно купить у кого угодно за углом. Совершенно не факт, что ваш текущий поставщик обладает необходимыми навыками и компетенциями. От квалификации партнера зависит итог внедрения и защищенность вашей компании. При выборе поставщика нужно в первую очередь смотреть на его опыт и техническую подкованность. Лучше всего это определять в рамках пилотного проекта. Таким образом вы сразу убьете двух зайцев:

  1. Протестируете NGFW в вашей инфраструктуре и определитесь с моделью;
  2. Оцените адекватность партнера. Способен ли он помочь вам при внедрении и сможет ли затем оказывать техническую поддержку.

По сути, данный пункт является самым главным. Хороший партнер должен сам провести вас через этот чеклист. Он должен обозначить все важные моменты, предупредить обо всех возможных проблемах и естественно выдать варианты их решения.

Заключение


Надеюсь эта заметка действительно кому-то пригодится. Это конечно не универсальный рецепт, но поможет избежать самые типичные проблемы. Если у вас остались вопросы или есть замечания/предложения, то пишите в комментариях, либо мне на почту .

P.S. Возможно вам будет интересна наша предыдущая статья " Типовые сценарии внедрения NGFW "