WAF: Open Sourse vs Proprietary

WAF: Open Sourse vs Proprietary
В четверг, 29 марта 2018, выступал в Краснодаре на конференции "Код ИБ" с докладом на тему "Технические аспекты внедрения WAF". Тема не то, чтобы очень новая, но для меня когда-то была очень актуальной. 5 лет назад ни вендор, ни интегратор не смогли мне толком ответить, каким образом правильнее интегрировать WAF под мои требования, только твердили "vendor-recommended design". В итоге пришлось делать все самому. Иногда я рассказываю на внешних или внутренних конференциях, как правильно выбрать архитектуру, отвечаю на возникающие вопросы, чтобы мой опыт пригодился и другим.




На конференции в Краснодаре у меня спросили:
- примеры open source WAF
- сравнивал ли я производительность коммерческих и open source решений WAF.

name="'more'">

С первым вопросом более-менее понятно: что не вспомнишь - то нагуглишь.
Со вторым сложнее. Я не продаван, поэтому, чтобы не тратить свое и чужое время расплывчатыми фразами, ответил честно: не сравнивал.
Тема использования свободно распространяемого ПО в крупных организациях меня заинтересовала давно, и на эту тему я уже написал несколько аналитических статей:
Open Source или вендорское решение?
Linux и системы обнаружения вторжений.
Проектирование и внедрение инфраструктуры IDS/IPS. Этап 3. Выбор решения

При внедрении WAF сравнительный анализ в основном остается остается прежний, взят из моей же  статьи .

Плюсы коммерческого решения:
Капитализация. Если акции компании торгуются на бирже, капитальные инвестиции повышают стоимость бренда и акций. Инвестиции в новейшие решения - большой плюс для компании.
Ответственность поставщика. Коммерческое решение предполагает определенные гарантии работоспособности, времени реакции и восстановления сервиса. Конечно, реальное привлечение вендора к ответственности - очень нетривиальная задача.
Масштабируемость. На текущем этапе развития среднестатистический коммерческий продукт в целом более применим в крупной либо динамично развивающейся инфраструктуре, чем Open Source. 
Визуализация. Тоже в соответствии со средней температурой по больнице, коммерсанты лучше умеют показать красивую картинку, потому что имеют ресурс для сбора и интерпретации результатов обратной связи.

Плюсы Open Source:
Полная адаптация. Сам себе заказчик, сам себе исполнитель. Твой бизнес-юнит не отложит твое же пожелание в долгий ящик только потому, что Россия по объемам продаж вендора - 3% рынка сбыта, а твоя компания - 3% от этих 3%.
Время. Самый ценный ресурс. За счет сокращения и даже удаления некоторых этапов инвестиционного проекта время внедрения сокращается в несколько раз. Коммерческий продукт даст такой результат только при условиях:
- поставщик решения выбран
- вендор готов дать право пилотирования на все время до проведения официальной закупки (а это может затянуться и на годы, особенно в кризис)

Но в случае с WAF добавляется еще один очень серьезный плюс в корзинку коммерческого решения. Связан с обработкой SSL/TLS-трафика. Если количество новых HTTPS-сессий в секунду небольшое, то можно использовать и стандартные сервера либо даже виртуальные машины. Но когда их количество измеряется сотнями либо тысячами в секунду, для одной только их обработки на лету потребуются дополнительные вычислительные мощности. У производителей коммерческих аппаратных решений выделяются отдельные аппаратные модули в виде SSL-карт либо ASIC'ов специально для обработки HTTPS-трафика. В случае  с Open Source такую конструкцию придется собирать, настраивать и поддерживать самостоятельно. Поэтому чаша весов тогда склонилась в пользу коммерческого решения, хотя уважения к Open Source как классу у меня от этого не убавилось.
И остальные задачи при внедрении WAF тоже не изменились.

ЗЫ. Фото взяты из твиттера Сергея Борисова.





 

Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed