Нужен NGFW. Как маркетплейс начал импортозамещаться
Кейс: создание доверенной сети для маркетплейса
1. Общее описание ситуации
Статья инспирирована кейсом, связанным с заменой оборудования Fortinet FortiGate 100X/200X/400X на отечественные аналоги в одном российском маркетплейсе. Ситуация, впрочем, типична. Думаю, описание процесса выбор будет полезным для разного рода специалистов. К какому бы решению каждый ни пришел, есть необходимость общего понимания целей и решаемых задач.
Необходимость замены оборудования возникла по двум причинам:
Отказ западного вендора в технической поддержке, что само по себе для такого рода индустрии крайне критичная вещь.
Взгляд в будущее, есть требования регулятора рынка и незачем создавать ситуацию обострения и претензий.
Ни для кого не секрет, что маркетплейсы прочно заняли свою долю рынка и продолжают ее наращивать.
Что такое маркетплейс для продавца:
Расширение аудитории;
Удобное управление и маркетинговая поддержка;
Снижение издержек.
Что такое маркетплейс для покупателя:
Удобство: покупатели могут находить различные товары и услуги на одной платформе, сравнивать их цены и характеристики, что делает процесс покупки более удобным.
Что такое маркетплейс для ВСЕХ:
Доверие и безопасность: маркетплейсы имеют системы обеспечения безопасности и защиты покупателей.
Инновации и конкуренция: конкуренция между продавцами на маркетплейсе стимулирует инновации и улучшение качества товаров и услуг, что в итоге приносит пользу покупателям.
Глобальная доступность: многие маркетплейсы работают на мировом уровне, что позволяет как продавцам, так и покупателям участвовать в торговле на международном рынке.
Как следствие, обеспечение информационной безопасности для маркетплейса необходимо для защиты интересов как пользователя, так и продавца, и является неотъемлемым аспектом успешной работы любой площадки.
В процессе первоначального обсуждения ТЗ (технического задания), были рассмотрены устройства следующих отечественных вендоров: Код Безопасности (Континент), Infotecs (ViPNet), UserGate, ТСС (Diamond), Ideco, S-Terra, НПО Эшелон (Рубикон), Numa, Eltex — по сути это все серьезные игроки на рынке NGFW на начало 2024 года.
2. Техническая вводная
Перейдем к ключевому вопросу, который требует внимательного подхода. Здесь мы сталкиваемся с ситуацией, где требуется объективное понимание и четкие требования со стороны заказчика.
А есть следующее. Офисы, десятки складов и крупных складов, сотни сортировочных центров и их работники — менеджеры, представители, техники и т.д. И всем нужно обмениваться информацией с минимальной потерей во времени.
Теперь более детально о желаемом (весь список до мелочей оглашать не стану, только, чтобы сформировать некоторое представление о задачах):
отказоустойчивость — возможность кластеризации и\или возможности быстрого восстановления при сбоях;
Site-to-site и remote access VPN. Для подключения филиалов и удаленных пользователей;
ФСБ сертификация VPN необязательна (хотя рассматривалась на возможные будущие законодательства или ограничения регулирующих структур), так — что сразу развязывает руки (поясню, обработка и передача персональных и прочих чувствительных данных происходит в отдельных сервисах, в том числе, с помощью отдельно-стоящих устройств внутри периметра, которые не связаны с общей массой устройств сетевой инфраструктуры, которые предполагалось заменить);
IPSec, IKE v1/v2 и другие протоколы — для совместимости с различными производителями, и, как следствие, упростить взаимодействие со сторонним оборудованием партнер (что иногда тоже является проблемой среди российского оборудования);
DMVPN. Для простоты масштабируемости (не нужно знать публичные адреса, создавать статичные туннели. плюс повышается отказоустойчивость);
SSL VPN. Для некоторых удаленных сотрудников хотелось бы подключение без установки клиентского ПО с использованием сертификатов и, так называемой, прозрачной авторизации. То есть, аутентификации пользователя без его непосредственного участия;
интерфейсы: 1000Base-T, 10GBase-X SFP+ (не менее двух на устройство), агрегация интерфейсов LAG/LACP;
маршрутизация BGP, OSPF, поддержка BFD;
поддержка Syslog;
прочие стандартные функции: доступ по SSH, SNMP, NTP и т.д.;
пропускная способность межсетевых экранов не мене 5 Gb/s, для крупных складов не менее 10 Gb/s;
пропускная способность VPN не менее 500 Mb/s;
«прозрачность» лицензирования — желательно отсутствие дополнительных лицензий и подписок;
То есть, по сути, никаких сверх условий не выдвигалось. Несмотря на масштабность, задача сводилась, по большому счету, к обеспечению защищённой связи точка-точка и удалённому доступу к некоторым внутренним сервисам компании.
3. Подбор решения
Из трудностей. Имела место ситуация с тем, что портировать конфигурацию напрямую и автоматически с FortiGate«ов не представлялось возможным. Некоторые российские вендоры предоставляют утилиты для миграции с зарубежных устройств, хотя назвать их полноценными пока можно с трудом. Что касаемо миграции конкретно с FortiGate, то в поле зрения только один вендор — Код безопасности, с их инструментами конвертации.
Переходя к выбору решений, что было отсечено и по каким причинам:
отсутствие необходимости в сертификатах ФСБ на шифрование, пожелание не зависеть от конкретного производителя и проприетарных VPN;
доступность такого количества устройств (ПАКов), чтобы избежать проблемы с поставкой;
с отсутствием автоматической миграции смирились, это условие тоже упразднено;
пришло понимание, что нет необходимости и большинстве L7 фильтраций минус сильные стороны нескольких решений;
с отсутствием автоматической миграции и ssl vpn (в необходимом виде есть только у usergate) — смирились, эти условия тоже упразднены;
4. Предварительная оценка
Итак, в стремлении к эффективности, мы плавно перешли от полноценного NGFW к сервисному маршрутизатору, а это — S-Terra и Eltex из перечисленных выше…
Решения — и S-Terra, и Eltex — имеют Cisco-like (CLI) консоль, однако у S-Terra помимо собственного CLI доступна и консоль bash, что с одной стороны расширяет возможности настройки, но с другой добавляет путаницы и сложности администрирования.
Преимущества в сертификации не столь критична. А вот c лицензированием функционала есть различия: Eltex отдельно лицензирует модуль IDS/IPS и сервис BRAS который отвечает за идентификацию и фильтрацию трафика клиента.
У S-terra лицензируется L2 VPN. Модуль IDS (без IPS) считается отдельным продуктом и лицензируется отдельно, но его можно использовать совместно со шлюзом. Сервисов фильтрации и идентификации трафика пользователей у S-Terra нет
Немаловажной составляющей является документация, у Eltex спецификации оборудования, руководства и дополнительные материалы доступны для скачивания — что является плюсом при настройки подобного оборудования (например, в условиях отсутствия доступа к сети Интернет). S-Terra предоставляет портал документации, а вот спецификации устройств нужно искать или запрашивать.
По функционалу сравнивать можно долго, но отметим важные качества Eltex которых нет у S-Terra: OpenVPN, IKEv2, VRF, IPv6
Протестировать на стендах решили оба решения, но подробное описание этого процесса — тема уже отдельного кейса.
5. Выводы.
Приходится констатировать тот факт, что пока нет полноценной и всеобъемлющей замены устройств FortiGate, но из того, что есть у российских производителей, уже можно серьёзно выбирать. Этот год и ситуация в целом подгоняют индустрию, и в гонку включаются новые продукты, а «старикам» приходится расширять функционал и подстраиваться под рынок:
на горизонте продукты от Positive Technologies и Solar от Ростелеком;
серьёзные функциональные обновления S-Terra, Кода безопасности и остальных вендоров);
так же ждем 2025 год в плане указов российских регуляторов
Резюмируя, можно сказать, что все устройства хороши, выбирай функционал на вкус! И под конкретный кейс. Та аскеза, которая была внесена в проект, неустанно диктовала нам подход Огюста Родена в создании совершенства — отсекать всё лишнее! Мы отселки! Что немаловажно — без усечения требований заказчика. И, как показала практика, качественно получилось.
В качестве позитивной ноты, замечу, что еще два года назад никто и не подумал бы, что можно относительно безболезненно так импортозаместиться. Однако, есть реальные кейсы, которые показывают, что наш, Российский прогресс в сфере IT не стоит на месте, и в плане импортозамещения неразрешимых задач остаётся всё меньше и меньше.
