Алексей Шанин, UDV Group: Мы разработали межсетевой экран на архитектуре RISC-V

07 Сентября 2023 13:3507 Сен 2023 13:35 |
Поделиться

Компания UDV Group появилась в конце прошлого года и заявила о себе как о производителе экосистемы решений для промышленной кибербезопасности. В июле этого года UDV Group представила первый в России межсетевой экран на архитектуре RISC-V. Что это за архитектура, почему выбрали именно ее и что отличает UDV Industrial Firewall от имеющихся на рынке межсетевых экранов рассказывает директор ООО «СайберЛимфа» (входит в UDV Group) Алексей Шанин.

CNews: UDVGroup — это довольно молодой бренд. Давайте напомним нашим читателям, какие компании входят в UDVGroup?

Алексей Шанин: UDV Group — это российский разработчик в области кибербезопасности промышленных и корпоративных сетей. Группа объединяет продукты компаний «СайберЛимфа», «КИТ» и «ФТ-СОФТ». Каждая из компаний бренда — известные на рынке эксперты, которые создают высокотехнологичные решения для крупнейших российских холдингов, промышленных предприятий и государственных структур. Продукты, входящие в экосистему UDV Group, успешно внедряются в России с 2014 г., сертифицированы ФСТЭК России и входят в Реестр российских программ и баз данных.

CNews: В чём заключаются главные преимущества UDV IndustrialFirewall?

Алексей Шанин: Во-первых, это технологическая независимость. В решении применяется полностью свободная независимая аппаратная архитектура RISC-V. Продукт соответствует требованиям российского законодательства без каких-либо ограничений для приобретения, в том числе вводимых с 1 января 2025 года. Во-вторых, высокая скорость работы. В составе платформы — аппаратный ускоритель фильтрации трафика отечественной разработки на ПЛИС (FPGA), реализующий параллельную обработку пакетов. На текущий момент аппаратный ускоритель фильтрует трафик промышленных сетей на скоростях порядка 1 Гбит/с. В-третьих, это расширяемое решение. Горизонтальная масштабируемость в части наращивания производительности обеспечивается за счет аппаратных модулей. Гибкость и адаптация под специфические задачи изначально заложены в архитектуру решения. Таким образом, UDV Industrial Firewall — это санкционно устойчивый продукт с отличным соотношением эффективность/цена за счёт сочетания программной и аппаратной обработок трафика. Заказчики получают отечественное санкционно устойчивое устройство при высокой производительности и достаточной функциональности по справедливой цене.

CNews: RISC-V — открытая архитектура. Рискованно ли полагаться на открытую архитектуру в таком чувствительном сегменте, как АСУ ТП?

Алексей Шанин: Полагаться на проприетарные архитектуры с неотключаемыми средствами удаленного управления и недокументированными возможностями ещё более рискованно. На данный момент мы используем процессоры RISC-V архитектуры производства КНР, не подпадающие под санкции. Сейчас мы проводим макетирование на процессорах 1 ядро 1 ГГц и 4 ядра 1,7 ГГц.

По мере развития отечественного производства, мы планируем переход на процессоры RISC-V производства «Микрон».

CNews: А каким образом будут локализованы аппаратные компоненты?

Алексей Шанин: Ключевыми элементами для аппаратной платформы являются процессоры и ПЛИС. Сейчас в мире промышленно выпускаются процессоры трёх архитектур: х86, ARM и RISC-V. Первые две проприетарны и подсанкционны. Поэтому, когда всё же появятся отечественные процессоры, скорее всего они будут на архитектуре RISC-V. Что касается ПЛИС, по нашим данным, Воронежский завод полупроводниковых приборов планирует выпустить ПЛИС средней степени интеграции к 2025 году. Наше решение как раз и построено на средних ПЛИС по этой причине (но пока не российского производства). Наши ближайшие конкуренты используют «тяжелые» ПЛИС высокой степени интеграции. Они более производительные, более ёмкие, но и гораздо более дорогие, более редкие и подвержены риску санкционных ограничений.

Таким образом, первыми в российской электронной промышленности появятся процессоры RISC-V и ПЛИС средней степени интеграции, которые полностью подходят для производства UDV Industrial Firewall.

CNews: Чем архитектура «RISC-V + ПЛИС» лучше архитектуры на x86? Какие риски берут на себя заказчики?

Алексей Шанин: Риск от использования архитектуры RISC-V минимален. Многие развитые страны (КНР, РФ и даже Европейский Союз) вкладываются в архитектуру RISC-V и ее развитие. За ней будущее российской элементной базы. При этом, нарастает риск ограничения поставок высокопроизводительных процессоров х86 в горизонте нескольких лет, и те производители, которые строят свои решения на их основе, могут попасть под санкционные ограничения.

В качестве справки: в конце 2022-го года на RISC-V Summit было заявлено, что во всем мире эксплуатируется уже более десяти миллиардов ядер процессоров RISC-V. В сообщество RISC-V International входит более 3000 компаний из 70 стран мира. Фактически «революция» уже произошла и сейчас скорее надо говорить о рисках превращения архитектуры x86 в нишевую (особенно на фоне международных санкций в отношении КНР и РФ).

Также стоит отметить, что ПЛИС получает правила обработки сетевого трафика. Процессор RISC-V осуществляет «гибкие» вычисления, которые не могут быть реализованы на ПЛИС на текущем этапе, — он реализует глубокую инспекцию промышленных протоколов. Таким образом, ПЛИС снимает основную часть нагрузки с центрального процессора.

CNews: Какие есть ограничения у технологии? Например, есть ли ограничения на количество правил межсетевого экранирования?

Алексей Шанин: Безусловно, такие ограничения есть. Как уже было сказано ранее, архитектура UDV Industrial Firewall состоит из процессорной части (RISC-V) и аппаратного ускорителя (ПЛИС). Ускоритель способен фильтровать трафик на скорости провода (сейчас это по 1 Гбит/с в двух направлениях), используя параллельную обработку поступающих пакетов. Платой за скорость служит относительно малое число применимых правил фильтрации. При этом архитектура ускорителя такова, что допускает линейное масштабирование, то есть наращивание числа правил простым добавлением ПЛИС, которые начинают обрабатывать потоки параллельно. Применяемый в конкурентных аналогах подход обработки трафика только центральным процессором способен применить больше правил, но его производительность, а главное, задержки пакетов будут ухудшаться по мере удлинения списка правил, потому что обработка трафика осуществляется последовательно одним вычислительным устройством без возможности масштабирования.

CNews: Почему другие производители так и не начали разработку на архитектуре RISC-V?

Алексей Шанин: Другие разработчики сетевых решений имеют наработки, которые, с одной стороны, уже работают на х86 и приносят доход. С другой стороны, их переработка на архитектуру RISC-V — это «путешествие в каменный век» для них с падением скоростей в сотни раз. Мы на старте имеем возможность предусмотреть правильную архитектуру, обеспечивающую скорость на выбранных компонентах. Мы имеем огромный опыт разработки решений в области обработки трафика промышленных сетей, который подтверждается масштабными внедрениями нашего средства мониторинга (более 1500 инсталляций). Под нашей защитой уже находятся крупнейшие предприятия РФ.

CNews: На какой стадии разработки находится UDV IndustrialFirewall? Назовите его основные характеристики.

Алексей Шанин: На текущем этапе у нас есть прототип работающего устройства, в котором реализован пакетный фильтр L4 (транспортный уровень OSI) на скорости провода 1 Гбит/с и обработке трафика на L7 (уровень приложения OSI) на скоростях несколько десятков Мбит/с. Сейчас межсетевой экран имеет 2 порта. Стекирование предусмотрено архитектурой, как внутри межсетевого экрана, так и при их объединении как законченных устройств. Отказоустойчивость реализуется в рамках функциональности, определённой требованиями ФСТЭК России к межсетевым экранам.

CNews: Какие ближайшие аналоги существуют на рынке?

Алексей Шанин: Ближайший западный аналог: Fortigate 60F Rugged. В отличие от него, в UDV Industrial Firewall ускоритель реализован на основе FPGA, а не на ASIC (FPGA — программируемая микросхема, а ASIC — нет), что придает особую гибкость в реализации различной функциональности без замены микросхем. Также в UDV Industrial Firewall реализована программная обработка трафика процессором RISC-V, а не ARM или x86.

Все ближайшие отечественные аналоги используют санкционно неустойчивую архитектуру x86 или ARM. Для ускорения обработки трафика применяются так называемые SmartNIC — «умные» сетевые карты, то есть гибриды сетевой карты и «тяжелой» ПЛИС. Функциональность ускорения фильтрации перекладывается на них. Главные недостатки такой архитектуры: 1) «тяжелая», дорогая ПЛИС и процессорная архитектура уязвимы к санкциям; 2) малая эффективность при большей цене; 3) SmartNIC поставляются с жестко встроенным программным инструментарием для обработки трафика, а это ведет к потере гибкости, то есть можно реализовать только те правила, какие есть в инструментарии и не более того. Как следствие — сложности в работе с нестандартными промышленными протоколами, которые как раз и характерны для промышленного сегмента.

CNews: Почему стоит рассматривать Industrial Firewall именно от UDV Group?

Алексей Шанин: Мы сделали межсетевой экран именно для той области, в которой мы действительно профессионалы — для промышленной автоматизации. Наша команда имеет глубокую компетенцию в программной разработке и в конструировании аппаратных платформ. Предлагаемое нами решение не подвержено санкциям недружественных стран, учитывает множество особенностей сетевого экранирования в сегментах АСУ ТП, а также оптимизировано по соотношению цена/производительность.

CNews: И, пожалуй, заключительный и самый животрепещущий вопрос: сколько будет стоить UDV IndustrialFirewall? Какие сроки поставки?

Алексей Шанин: Основу аппаратной платформы UDVIndustrialFirewallсоставляют относительно недорогие процессор RISC-V и ПЛИС средней степени интеграции, поэтому у нас есть все возможности для того, чтобы обеспечить для наших заказчиков цены ниже среднерыночных. Взять устройство на тестирование ориентировочно можно будет уже осенью 2023 года. Более точная дата появится на сайте udv.group в ближайшее время. На данный момент мы ставим заказчиков в лист ожидания. Старт продаж и отгрузки намечены на второй квартал 2024 года.

Полный текст статьи читайте на CNews