Дмитрий Хомутов, Айдеко: Процесс замены импортных NGFW в enterprise-cегменте в разы ускорился
Еще недавно существенную долю в сегменте межсетевых экранов нового поколения, или NGFW, российского рынка информационной безопасности занимали глобальные поставщики, их решениям отдавали предпочтение крупные заказчики. С весны прошлого года возможность занять их место появилась у отечественных производителей таких решений. Как они ею пользуются? С какими барьерами сталкиваются? В каких направлениях развивают функционал своих решений. Эти и некоторые другие вопросы мы обсудили с Дмитрием Хомутовым, директором компании «Айдеко».
Дмитрий, по данным компании Positive Technologies, количество инцидентов в сфере информационной безопасности в 2022 году увеличилось на 21%, по сравнению с результатами 2021-го. Какую динамику демонстрирует показатель с начала этого года? Как она влияет на ситуацию на российском рынке межсетевых экранов нового поколения?
Дмитрий Хомутов: Действительно, в связи с началом СВО количество кибератак существенно увеличилось. И по своей инфраструктуре, и по инфраструктуре наших клиентов мы видим, что этот рост продолжается. Есть оценки компании «Ростелеком-Солар» и данные «Лаборатории Касперского», согласно которым в первом квартале 2023 года число кибератак увеличилось в полтора раза по сравнению с аналогичным периодом 2022 года.
Такой рост говорит о сохранении актуальности и востребованности межсетевых экранов нового поколения, потому что более 60% всех инцидентов — кибератаки на периметр организаций и предприятий, это самое уязвимое место как для целевых, так и для нецелевых атак.
К тому же, несмотря на уход зарубежных вендоров, таких, как Cisco, Fortinet, Palo Alto, их решения российскими компаниями массово используются, хотя без подписок на обновления их возможности по отражению атак значительно снижены: фактически они превратились в дорогие файерволы 3-го уровня.
Некоторым заказчикам удается получать официальные обновления из разных зарубежных источников. Но такие обновления часто запаздывают и далеко не всем доступны, поскольку поддерживать постоянно эти неофициальные источники не так просто.
В чем зарубежные межсетевые экраны нового поколения превосходят российские? Почему до начала специальной военной операции 80% поставщиков NGFW в нашей стране были иностранными?
Дмитрий Хомутов: Прежде всего, в высокоскоростной обработке трафика. Производительность продуктов Cisco, Fortinet, Palo Alto Networks — от десятков до сотни гигабит в секунду. До недавних пор на таких скоростях трафик не обрабатывало ни одно российское решение. Кроме того, NGFW глобальных вендоров имеют возможность интегрироваться в сложные сети с динамической маршрутизацией и с большим количеством VPN-туннелей разных типов. Российских решений, обладающих такой функциональностью, до недавних пор тоже практически не было. Добавлю также, что по возможностям систем сетевого предотвращения вторжений, IPS, и по объему антивирусных баз, зарубежные решения тоже совсем недавно превосходили отечественные межесетевые экраны нового поколения.
Но надо сказать, что с прошлого года мы и наши коллеги по цеху активно развиваем свои продукты и сейчас в некоторых сценариях российские межсетевые экраны нового поколениях уже способны заменить импортные NGFW, а их производители предварительно готовы быстро проработать решения для замены в сроки, которые требуются заказчикам.
Насколько остро встал перед российскими компаниями и предприятиями вопрос замены NGFW от глобальных поставщиков на российские решения?
Дмитрий Хомутов: В прошлом году импортозамещением межсетевых экранов нового поколения занялась значительная доля клиентов, в основном, из сегмента среднего и малого бизнеса. К средним мы относим компании с 1000 рабочих станций. У них, как правило, не очень сложные сети и бюджетный процесс не занимает много времени, поэтому в 2022 году или в начале 2023-го они успели приобрести и внедрить наши решения.
Что касается крупных корпораций и других компаний большого бизнеса, представителей Enterprise-сегмента с 5000 компьютеров и более, то у них тоже есть спрос на отечественные универсальные шлюзы безопасности (UTM), но они не спешат с выбором, а тщательно изучают предложения российских вендоров. Сейчас такие корпоративные клиенты массово тестируют отечественные решения: наши межсетевые экраны нового поколения, конкурирующие с ними продукты — присматриваются к ним, чтобы к концу этого года или в начале следующего приобрести, внедрить выбранный ими продукт и таким образом подготовиться к 1 января 2025 года.
С этого дня по Указу Президента №250 многие из них должны использовать исключительно российское программное обеспечение и российские программно-аппаратные комплексы в сфере информационной безопасности. Это и органы власти, федеральные и субъектов РФ, и госкорпорации, и госфонды, и субъекты КИИ, стратегические предприятия и стратегические акционерные общества, а также системообразующие компании для российской экономики.
Обязательность исполнения Указа для всех этих категорий крупных корпоративных заказчиков сегодня главный драйвер роста рынка информационной безопасности в России в целом, и рынка межсетевых экранов нового поколения, в частности.
Так что, если раньше вопрос замены межсетевых экранов решался в компаниях из enterprise-сегмента довольно долго, то благодаря уходу с российского рынка зарубежных вендоров и регламентированному импортозамещению этот процесс, хоть и не стал совсем быстрым, но все-таки в разы ускорился.
Какие барьеры вы видите на пути развития функционала отечественных межсетевых экранов нового поколения до уровня продуктов зарубежных поставщиков?
Дмитрий Хомутов: Основная проблема кроется не в отсутствии необходимой функциональности отечественных NGWF, а в том, что когда-то внедренное в сеть решение этого класса уже имеет преимущества перед любым новым продуктом. Все затраты на его внедрение у заказчика, на обход каких-то его особенностей в прошлом, и для того, чтобы проходить этот путь снова, нужны очень веские причины. Все межсетевые экраны нового поколения имеют свои особенности в части интеграции в локальную сеть, поддержки сетевых протоколов и тоннелей. Так что заменить NGFW Cisco на такой же продукт Fortinet или Palo Alto Networks ненамного проще, чем на продукт российского вендора.
Понятно, что некоторые компании в России вложили немалые средства, к примеру, в межсетевые экраны Cisco, оценили их возможности и хотят продолжать ими пользоваться. Такие заказчики сегодня запрашивают у нас и у наших коллег решения с теми же функциональностью и особенностями архитектуры. Понятно, что один в один повторять продукт, который создавался и развивался глобальным вендором на протяжении десятилетий, никто не будет. К тому же, ввиду длинной истории некоторые характеристики таких межсетевых экранов могут быть не оптимальны, например, поддерживать устаревшие протоколы динамической маршрутизации.
Еще одна проблема с заменой NGFW зарубежных вендоров – их большие экосистемы продуктов в области информационной безопасности. Тот же межсетевой экран Cisco интегрируется в сеть, построенную на маршрутизаторах и коммутаторах этого вендора, с другим его оборудованием, с клиентскими приложениями. То же самое можно сказать и о Fortinet. В экосистеме этого поставщика около 50 продуктов информационной безопасности.
Поскольку экосистем, объединяющих продукты из всех доменов ИБ, в России нет, при импортозамещении приходится использовать решения разных отечественных производителей.
Как вы оцениваете перспективы формирования подобных экосистем игроками российского рынка ИБ?
Дмитрий Хомутов: Для того, чтобы собрать решения во всех доменах информационной безопасности в одну экосистему ни одному российскому производителю, даже самому крупному, не хватит ни времени, ни ресурсов. А если у кого-то это все-таки получится, то развивать полноценную экосистему все равно будет очень трудно ввиду ограниченных размеров российского рынка ИБ и рынков дружественных стран.
Я вижу, что сейчас отечественным разработчикам и поставщикам NGFW нужно воспользоваться возможностью создавать хорошие продукты со встроенной в них интеграцией в продукты других российских вендоров.
И мы как компания «Айдэко» сосредотачиваемся именно на развитии своего межсетевого экрана нового поколения в сторону интеграции с отечественными аналогами Active Directory, то есть службами каталогов и аутентификации пользователей, с российскими SIEM-системами, антивирусами, фидами, к примеру, от «Лаборатории Касперского», для сетевого предотвращения вторжений.
Дмитрий, а как за 2022 год и 1 квартал 2023 года изменилась функциональность межсетевого экрана нового поколения Ideco UTM?
Дмитрий Хомутов: Вектор развития нашего решения — повышение его качества и дополнение возможностями, востребованными крупными корпоративными клиентами. В 2022 году мы выпустили три мажорных релиза с функциональностью именно для больших клиентов. Теперь им доступны динамическая маршрутизация, различные современные протоколы, центральная консоль управления с любым количеством серверов и с возможностью единых политик на каждый сервер. Также появились инструменты для кластеризации, для повышения отказоустойчивости.
Предмет нашей гордости — VPN-агент и агент авторизации, являющиеся аналогом Cisco AnyConnect, других западных приложений и отсутствующие в решениях других российских вендоров. Ну и также большое внимание мы уделили существенному повышению производительности по обработке трафика.
Ideco UTM программное решение или программно-аппаратное?
Дмитрий Хомутов: У нас есть и программное решение межсетевого экрана нового поколения, и программно-аппаратное. Это тоже тенденция — отход от традиционных ПАКов и развертывание системы либо в облаке, либо на гипервизорах, либо на собственном серверном оборудовании. У нас есть и возможность программного решения, и программно-аппаратного комплекса.
Ваш межсетевой экран работает с российскими операционными системами и средствами виртуализации?
Дмитрий Хомутов: В ближайшей версии решения, которая выйдет в мае, будет поддержка Alt Linux, точнее их аналога Active Directory, и уже в июне появится поддержка ALD Pro, аналога Astra Linux. Конечно же, совместно с нашими партнерами по рынку мы создаем интеграции.
И тут уже у российских решений будет преимущество перед западными, которые вряд ли будут поддерживать российские операционные системы.
Если говорить о межсетевом экране нового поколения в виде ПАКа, каковы его требования к аппаратной части?
Дмитрий Хомутов: Наши программно-аппаратные комплексы создаются на базе вычислительной техники российских производителей, которые выпускают сервера на основе западных процессоров. Таких партнеров у нас несколько: «Аквариус», Depo, Kraftway, ICL. Есть перспективная версия Ideco UTM, которая способна работать на процессорах Baikal, но пока таких программно-аппаратных комплексов мы не выпускаем из-за проблем с наличием самих процессоров.
Какие новые возможности появятся у Ideco UTM в ближайшее время?
Дмитрий Хомутов: Летом этого года мы планируем выпустить специальную версию нашего продукта для центров обработки данных и для клиентов, имеющих высокоскоростное подключение к сети интернет — от 10 Гбит/с и выше. Эта версия будет способна без задержек работать на таких скоростях всеми модулями глубокого анализа трафика. Это довольно сложная техническая задача, и наша специальная версия способна ее выполнить. Сейчас она уже тестируется у ряда крупных провайдеров.
По нашему опыту работы с дата-центрами, мы видим, что, поскольку в ЦОДах консолидируются большие объемы трафика и скорость там высока, у них предельно жесткие требования к производительности межсетевого экрана нового поколения и к его надежности. И наша специальная версия Ideco UTM будет им соответствовать.