Как выбрать NGFW: 10 шагов – от идеи до внедрения

В современном мире NGFW – это практически must have для любой крупной компании, поскольку наличие многочисленных ИБ-инструментов этого класса устройств обеспечивает удобство использования и синергический эффект. Но бездумное применение NGFW сделает инструменты безопасности неэффективными, поэтому нужно понять, как именно будет применяться устройство.

Это может быть защита территориально-распределенных сетей, тогда необходимо искать NGFW с «прокаченным» централизованным управлением и VPN. Это может быть защита периметра сети, тогда особое внимание требуется уделить защитным функциям. Если же главная задача – защита внутренней сети, то NGFW должен уметь сегментировать десятки гигабит на межсетевом экране.

NGFW, как правило, выбирается на долгие годы, поскольку на его основе строится вся система безопасности ИТ-инфраструктуры. Поэтому прежде, чем купить понравившееся решение, стоит узнать репутацию его разработчика. Давно ли компания на рынке, велика ли инсталляционная база, каковы отзывы эксплуатантов?

Может оказаться так, что компания выпустила NGFW недавно, провела мощную рекламную кампанию, но на деле продукт не «зашел», и вскоре его разработка будет прекращена. Соответственно, вместо живого продукта, который постоянно обрастает новой функциональностью, заказчик получит полурабочее устройство, и через год поиск NGFW придется начать заново.

Внедрение NGFW зачастую реализует не сам вендор, а его партнеры-интеграторы. Поэтому при выборе устройства стоит ознакомиться с тем, насколько широка соответствующая партнерская сеть разработчика, какое количество инженеров интегратор сможет выделить на сопровождение проекта, есть ли у них нужные сертификаты, которые подтверждают навыки, и так далее.

Внедрение NGFW – только первый шаг, и большинство проблем возникает уже на этапе «боевой» эксплуатации. Поэтому до того, как появятся вопросы по работе устройства, стоит выяснить, какое SLA (англ. Service Level Agreement; Соглашение, которое определяет уровень предоставляемого сервиса) предлагает вендор и интегратор. В первую очередь это касается технической поддержки, которая в идеале должна оказываться в режиме 24/7.

После выбора пула вендоров можно переходить к изучению их NGFW. Один из важных параметров – сертификаты. На российском ИБ-рынке сертификация устройств класса NGFW обязательна для государственных информационных систем (ГИС). Для других систем, например, АСУТП, ИСПДн и других необходимо использовать сертифицированные СЗИ, только если они закрывают актуальные угрозы.

Конечно, если организация не имеет ни таких систем, ни подобных объектов, то сертификаты не так важны, однако всегда лучше перестраховаться (законодательство в ИБ-сфере ужесточается с каждым годом) и приобретать решения, которые уже прошли инспекцию ФСТЭК или ФСБ. Первый регулятор проверяет соответствие NGFW требованиям к межсетевым экранам, IDS/IPS и NGFW, сертификация второго необходима, если устройство должно шифровать трафик с помощью ГОСТ алгоритмов.

Тенденция последних лет показывает, что безопасность могут обеспечить только отечественные продукты, потому что их производитель не сбежит, лишив заказчиков техподдержки, как это сделали зарубежные компании в 2022 году. При этом российское «происхождение» продукта должно подтверждаться не только словами разработчика, но и присутствием решения в ключевых реестрах: Реестре программного обеспечения Минцифры, Реестре программно-аппаратных комплексов (ПАК) Минцифры, Едином реестре российской радиоэлектронной продукции Минпромторга.

Маркетинговые заявления нередко отличаются от реальности. Вендор может рассказывать о высокой пропускной способности, а затем окажется, что для достижения этого параметра заказчику придется покупать дополнительное оборудование. Избежать подобных промахов поможет наличие независимого тестирования продукта. Если нет ни тестирований, ни кейсов успешного применения NGFW в других организациях, то это повод насторожиться, ведь «истории успеха» и исследования независимых лабораторий – это маркеры хорошего продукта.

Будет лучше, если вы сможете провести пилотный проект и проверить работоспособность всех критичных для вас функций в боевой среде. Часто бывает, что маркетинговые заявления вендоров отличаются от реального поведения NGFW в инфраструктуре.

В идеале у любого продукта, особенно такого важного, должно быть две «дорожные карты». Одна стратегическая, которая охватывает горизонт планирования в три-пять лет, вторая тактическая – на один-два года. Такие карты дают, во-первых, уверенность в том, что вендор не забросит NGFW и продолжит его развивать, во-вторых, показывают зрелость продукта, в-третьих, заказчик сможет увидеть, когда появятся те или иные функции.

При этом у многих вендоров тактическая «дорожная карта» буквально представляет живой организм – постоянно модернизируется и дополняется. Поэтому по просьбе заказчика та или иная функциональность может быть реализована раньше.

NGFW – сложный продукт, чья стоимость складывается из нескольких пунктов. Это первичная покупка платформы, лицензий, услуг технической поддержки (ТП) и последующее продление лицензий и ТП, которое происходит, как правило, раз в год. Нужно принимать во внимание как ценовую политику вендора (если он повышает стоимость каждый год, это не очень хорошо), так и общую сумму. То есть может быть так, что цена первичной покупки кажется выгодной, однако на дистанции, со всеми продлениями, NGFW другого производителя выйдет дешевле.