NGFW - это просто или сложно?
Когда Palo Alto Networks придумала и реализовала новую методику SP3 безопасного разрешения приложений в 2007 году, то это задало новый "золотой стандарт" проектирования межсетевых экранов и написания политик безопасности по имени пользователя и приложению. Это упростило управление защитой сетей. Поставщику NGFW нужно содержать исследовательскую лабораторию, которая занимается созданием и поставкой заказчикам сигнатур приложений и атак, вредоносного ПО и TI, дополнительных сервисов анализа файлов и URL в песочнице и заниматься прочей динамической начинкой устройств, включая ML и AI, например, для обнаружения DGA DNS. Скорость устройства зависит от мастерства программистов, которые своевременно создают все новые технологии защиты, не забывая про параллельно развивающиеся ИТ технологии: контейнеризацию, микросегментацию, SD-WAN, HTTP/2 и др. Всю сложную работу взяли на себя разработчики и исследователи и автоматизировали ее. И это все это упростило жизнь заказчикам.
Через NGFW удобно сделать удаленку!
Тихое пространство рынка NGFW стало самым обсуждаемым сегментом нашей индустрии в последние месяцы, просто потому, что тут есть VPN и подключать сотрудников по VPN, да еще защищать сотрудников через удобный интерфейс - хотел каждый здравомыслящий ИТ специалист во время коронавируса.
А как выбрать NGFW?
Однако, каждый новый производитель, придя на этот рынок, принес свое видение NGFW. Если посмотреть на рекламу, то оказывается есть NGFW без правил по приложениям, или без правил по пользователям. Оказывается скорость NGFW можно измерить, выключив все функции NGFW; скорость HTTPS можно измерить без проверки сертификатов SSL и категории URL. И самое эпическое - оказывается скорость NGFW можно измерить на UDP трафике 1518 байт, куда вы там вирусы запихиваете? )
Вам говорят, что они такие же как Palo Alto, только дешевле? ;-)
В общем рынок постепенно наполняется чудесами и заказчикам становится все сложнее прорваться сквозь прессинг маркетинга, где им предлагают самые дешевые, самые быстрые и самые качественные устройства все-в-одном. Производителей UTM, которые говорят, что они NGFW уже более 10. Слышу такую фразу: "Мы такие же как Palo Alto, только дешевле". А как проверить это заявление?
Настоящие критерии выбора NGFW
Чтобы "помочь понять продукт лучше" у некоторых производителей datasheet выглядит как набор 20 различных параметров производительности одного и того же устройства в разных режимах и с разными функциями в одном документе. Если сначала все было понятно и была одна скорость (и должна быть сейчас), где измерялась производительность в режиме все включено (помечается как Threat Prevention), то теперь в datasheet черт ногу сломит. Но и даже к этому значению теперь есть вопросы - в каком режиме работы, с какими сигнатурами и на каком трафике было измерено? А какое значение будет на реальном трафике и с нужным реально режимом работы?
Посмотрим на лучшие ресурсы сегодня, где помогают разобраться в NGFW:
✓Проект Anti-Malware провел
✓Хороший
✓Длинная
✓
✓
✓
✓
Поскольку во всех этих статьях и вебинарах описаны присутствующие на нашем рынке производители, то я приглашаю делиться своими впечатлениями о различных производителях в комментах и в телеграмм-канале