Нужен NGFW. Как маркетплейс начал импортозамещаться

f99655f817a18c25cbf73a0c8d6dade2.jpeg

Кейс: создание доверенной сети для маркетплейса

1. Общее описание ситуации

Статья инспирирована кейсом, связанным с заменой оборудования Fortinet FortiGate 100X/200X/400X на отечественные аналоги в одном российском маркетплейсе. Ситуация, впрочем, типична. Думаю, описание процесса выбор будет полезным для разного рода специалистов. К какому бы решению каждый ни пришел, есть необходимость общего понимания целей и решаемых задач.

Необходимость замены оборудования возникла по двум причинам:

  • Отказ западного вендора в технической поддержке, что само по себе для такого рода индустрии крайне критичная вещь.

  • Взгляд в будущее, есть требования регулятора рынка и незачем создавать ситуацию обострения и претензий.

Ни для кого не секрет, что маркетплейсы прочно заняли свою долю рынка и продолжают ее наращивать.

Что такое маркетплейс для продавца:

  • Расширение аудитории;

  • Удобное управление и маркетинговая поддержка;

  • Снижение издержек.

Что такое маркетплейс для покупателя:

  • Удобство: покупатели могут находить различные товары и услуги на одной платформе, сравнивать их цены и характеристики, что делает процесс покупки более удобным.

Что такое маркетплейс для ВСЕХ:

  • Доверие и безопасность: маркетплейсы имеют системы обеспечения безопасности и защиты покупателей.

  • Инновации и конкуренция: конкуренция между продавцами на маркетплейсе стимулирует инновации и улучшение качества товаров и услуг, что в итоге приносит пользу покупателям.

  • Глобальная доступность: многие маркетплейсы работают на мировом уровне, что позволяет как продавцам, так и покупателям участвовать в торговле на международном рынке.

Как следствие, обеспечение информационной безопасности для маркетплейса необходимо для защиты интересов как пользователя, так и продавца, и является неотъемлемым аспектом успешной работы любой площадки.

В процессе первоначального обсуждения ТЗ (технического задания), были рассмотрены устройства следующих отечественных вендоров: Код Безопасности (Континент), Infotecs (ViPNet), UserGate, ТСС (Diamond), Ideco, S-Terra, НПО Эшелон (Рубикон), Numa, Eltex — по сути это все серьезные игроки на рынке NGFW на начало 2024 года.

2. Техническая вводная

Перейдем к ключевому вопросу, который требует внимательного подхода. Здесь мы сталкиваемся с ситуацией, где требуется объективное понимание и четкие требования со стороны заказчика.

А есть следующее. Офисы, десятки складов и крупных складов, сотни сортировочных центров и их работники — менеджеры, представители, техники и т.д. И всем нужно обмениваться информацией с минимальной потерей во времени.

Теперь более детально о желаемом (весь список до мелочей оглашать не стану, только, чтобы сформировать некоторое представление о задачах):

  • отказоустойчивость — возможность кластеризации и\или возможности быстрого восстановления при сбоях;

  • Site-to-site и remote access VPN.  Для подключения филиалов и удаленных пользователей;

  • ФСБ сертификация VPN необязательна (хотя рассматривалась на возможные будущие законодательства или ограничения регулирующих структур), так — что сразу развязывает руки (поясню, обработка и передача персональных и прочих чувствительных данных происходит в отдельных сервисах, в том числе, с помощью отдельно-стоящих устройств внутри периметра, которые не связаны с общей массой устройств сетевой инфраструктуры, которые предполагалось заменить);

  • IPSec, IKE v1/v2 и другие протоколы — для совместимости с различными производителями, и, как следствие, упростить взаимодействие со сторонним оборудованием партнер (что иногда тоже является проблемой среди российского оборудования);

  • DMVPN. Для простоты масштабируемости (не нужно знать публичные адреса, создавать статичные туннели. плюс повышается отказоустойчивость);

  • SSL VPN. Для некоторых удаленных сотрудников хотелось бы подключение без установки клиентского ПО с использованием сертификатов и, так называемой, прозрачной авторизации. То есть, аутентификации пользователя без его непосредственного участия;

  • интерфейсы: 1000Base-T, 10GBase-X SFP+ (не менее двух на устройство), агрегация интерфейсов LAG/LACP;

  • маршрутизация BGP, OSPF, поддержка BFD;

  • поддержка Syslog;

  • прочие стандартные функции: доступ по SSH, SNMP, NTP и т.д.;

  • пропускная способность межсетевых экранов не мене 5 Gb/s, для крупных складов не менее 10 Gb/s;

  • пропускная способность VPN не менее 500 Mb/s;

  • «прозрачность» лицензирования — желательно отсутствие дополнительных лицензий и подписок;

То есть, по сути, никаких сверх условий не выдвигалось. Несмотря на масштабность, задача сводилась, по большому счету, к обеспечению защищённой связи точка-точка и удалённому доступу к некоторым внутренним сервисам компании.

3. Подбор решения

Из трудностей. Имела место ситуация с тем, что портировать конфигурацию напрямую и автоматически с FortiGate«ов не представлялось возможным. Некоторые российские вендоры предоставляют утилиты для миграции с зарубежных устройств, хотя назвать их полноценными пока можно с трудом. Что касаемо миграции конкретно с FortiGate, то в поле зрения только один вендор — Код безопасности, с их инструментами конвертации.

Переходя к выбору решений, что было отсечено и по каким причинам:

  • отсутствие необходимости в сертификатах ФСБ на шифрование, пожелание не зависеть от конкретного производителя и проприетарных VPN;

  • доступность такого количества устройств (ПАКов), чтобы избежать проблемы с поставкой;

  • с отсутствием автоматической миграции смирились, это условие тоже упразднено;

  • пришло понимание, что нет необходимости и большинстве L7 фильтраций ­ минус сильные стороны нескольких решений;

  • с отсутствием автоматической миграции и ssl vpn (в необходимом виде есть только у usergate) — смирились, эти условия тоже упразднены;

4. Предварительная оценка

Итак, в стремлении к эффективности, мы плавно перешли от полноценного NGFW к сервисному маршрутизатору, а это — S-Terra и Eltex из перечисленных выше…

Решения — и S-Terra, и Eltex — имеют Cisco-like (CLI) консоль, однако у S-Terra помимо собственного CLI доступна и консоль bash, что с одной стороны расширяет возможности настройки, но с другой добавляет путаницы и сложности администрирования.

Преимущества в сертификации не столь критична. А вот c лицензированием функционала есть различия: Eltex отдельно лицензирует модуль IDS/IPS и сервис BRAS который отвечает за идентификацию и фильтрацию трафика клиента.

У S-terra лицензируется L2 VPN. Модуль IDS (без IPS) считается отдельным продуктом и лицензируется отдельно, но его можно использовать совместно со шлюзом. Сервисов фильтрации и идентификации трафика пользователей у S-Terra нет

Немаловажной составляющей является документация, у Eltex спецификации оборудования, руководства и дополнительные материалы доступны для скачивания — что является плюсом при настройки подобного оборудования (например, в условиях отсутствия доступа к сети Интернет). S-Terra предоставляет портал документации, а вот спецификации устройств нужно искать или запрашивать.

По функционалу сравнивать можно долго, но отметим важные качества Eltex которых нет у S-Terra: OpenVPN, IKEv2, VRF, IPv6

Протестировать на стендах решили оба решения, но подробное описание этого процесса — тема уже отдельного кейса.

5. Выводы.

Приходится констатировать тот факт, что пока нет полноценной и всеобъемлющей замены устройств FortiGate, но из того, что есть у российских производителей, уже можно серьёзно выбирать. Этот год и ситуация в целом подгоняют индустрию, и в гонку включаются новые продукты, а «старикам» приходится расширять функционал и подстраиваться под рынок:

  • на горизонте продукты от Positive Technologies и Solar от Ростелеком;

  • серьёзные функциональные обновления S-Terra, Кода безопасности и остальных вендоров);

  • так же ждем 2025 год в плане указов российских регуляторов

Резюмируя, можно сказать, что все устройства хороши, выбирай функционал на вкус! И под конкретный кейс. Та аскеза, которая была внесена в проект, неустанно диктовала нам подход Огюста Родена в создании совершенства — отсекать всё лишнее! Мы отселки! Что немаловажно — без усечения требований заказчика. И, как показала практика, качественно получилось.

В качестве позитивной ноты, замечу, что еще два года назад никто и не подумал бы, что можно относительно безболезненно так импортозаместиться. Однако, есть реальные кейсы, которые показывают, что наш, Российский прогресс в сфере IT не стоит на месте, и в плане импортозамещения неразрешимых задач остаётся всё меньше и меньше.

© Habrahabr.ru