Тестирование стабильности NGFW

Тестирование стабильности NGFW
Я был удивлен, когда услышал, что один из производителей рекомендует перезагружать свой firewall раз в 2-3 месяца. Как часто нужно перезагружать ваш NGFW? И почему?

В любом софте, который работает у вас в компании есть баги. Они всплывут, вопрос во времени.  Посмотрите в top 50 производителей на CVE details. Посмотрите, среди них есть производители по безопасности, которых вы тоже используете. У всех есть и будут уязвимости. А уязвимость чаще всего это именно баг в софте. 

Есть еще баги, которые влияют на производительность и стабильность. Насколько быстро вылезают баги, влияющие на стабильность?

В NGFW все больше и больше функций. И писать идеально код человечество не научилось. Что делать конечному пользователю? В текущей ситуации мы часто используем более старые версии программного обеспечения, потому что в них меньше багов. Все новые версии программного обеспечения чаще всего сырые и производители сами же не рекомендуют ставить. Установка новой непротестированной версии в продакшн - серьезная авантюра для бизнеса. Нам должно быть неважно, что трафик может внезапно перестать ходить на какое-то время, любо новая фича важнее сопутствующих проблем. В любом случае вы должны подготовить процедуру что вы будете делать, чтобы уложиться в MTD (Maximum Tolerable Downtime).

Поэтому когда производитель рапортует про свое устройство или про новые фичи, обязательно просите reference визит к тем, кто уже использует эту версию. Потребуйте показать в интерфейсе uptime. Если перезагрузка была недавно, то спросите почему недавно перезагружали устройство. 

В недавно вышедшей статье " Как вогнать в краску продавца NGFW " описано как тестировать NGFW на производительность, но нет описания как тестировать стабильность. А это важный компонент! Все баги вылезают только под нагрузкой и только в процессе реальной эксплуатации, когда вы создаете правила, объекты, ставите политики. Плюс в последнее время на рынок вышли китайские производители, которые на тесты приносят совсем свежие версии продуктов, которые вообще еще ни у кого не стоят в продакшн. В тесте который идет 10 минут все может быть хорошо, а в вашей сети через неделю может всплыть memory leak и вам потребуется перезагрузка. Если у вас важные транзакции финансовые идут по сети, то это скорее всего не то, что вы и ваш бизнес хотели получить.

Поэтому вывод такой: тестирование NGFW нужно проводить на своем трафике в реальной сети, минимум месяц, чтобы проверить, что устройство работает стабильно.
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

ksiva

Пусть будет утренний в честь того, что я его создал утром.