ИМПОРТОЗАМЕЩАЕМ NGFW. НАШ ОПЫТ МИГРАЦИИ С PALO ALTO НА КОНТИНЕН

Интервью с ведущими экспертами рынка на тему миграции с зарубежного решения на отечественное. Лев Иванович Фисенко, Исполнительный директор «Кросс технолоджис» Лев Иванович, добрый день. Почему сегодня проекты по миграции на отечественные решения являются такими востребованными и популярными как в «Кросс технолоджис», так и в целом на рынке? – Многие заказчики из сфер, относящихся к КИИ, стали приходить с задачей миграции с зарубежных решений на наши, отечественные, в частности частым запросом является «переезд» на российский межсетевой экран. В рамках последних наших проектов мы часто реализовывали переход именно на решение Континент разработанное компанией «Код безопасности». Заказчиков в первую очередь привлекает, что продукт российский. И, конечно, простота развертывания и высокая производительность устройств. В чём особенности таких проектов? – «Переезд» пока не всегда случается гладким. Мои коллеги смогут более подробно рассказать, с какими сложностями мы сталкивались и как это решали. Павел Великов, Архитектор по информационной безопасности «Кросс технолоджис» Павел, расскажи, пожалуйста, с чего начался проект? – К нам обратился заказчик с задачей миграции с Palo Alto на отечественный NGFW. В качестве отечественного NGFW заказчик выбрал Континент 4, т.к. ранее он работал с Континент 3.9. Какие сложности возникли при реализации проекта миграции? – Миграция – это достаточно сложный процесс, поскольку каждый производитель использует свою логику работы в механизмах защиты, перенос которых требует глубоко анализа и кастомизации. Одним из ключевых различий является используемый заказчиком функционал Zone-Based Firewall в Palo Alto, в то время как Континент 4 не использует зоны безопасности в правилах фильтрации. После импорта сконвертированных правил на Континент 4 мы столкнулись с тем, что некоторые правила работали некорректно (трафик, попадая в цепочку контроля приложений, не может попасть в модуль URL-фильтрации и в дальнейшем может быть проверен только базовым межсетевым экраном и модулем контроля приложений). Какие инновационные решения были разработаны нашими специалистами для преодоления этой проблемы? – Для решения данной проблемы нами была разработана уникальная структура правил, которая позволила избежать пересечений обработки трафика модулями Контроля приложений и URL-фильтрации. Мы использовали модуль обнаружения вторжений на базе Suricata, который позволил одновременно использовать модуль контроля приложений и блокировать вредоносные url-адреса. Какие еще проблемы были успешно решены специалистами компании «Кросс технолоджис» в рамках проекта миграции, кроме основной цели? – Одной из важнейших задач в рамках проекта было именно обучение заказчика работе с новым решением. Поскольку ранее заказчик эксплуатировал только межсетевые экраны Palo Alto, а реализация механизмов безопасности в разных продуктах отличается, то требовалось научить заказчика использовать доступные механизмы безопасности для решения своих задач. После кропотливой работы нашей команды и совместных усилий с заказчиком нам удалось выполнить перенос правил межсетевого экранирования и актуализировать их. Структуризация правил позволила избежать ситуации, когда администраторы межсетевых экранов добавляли бы правила в конец списка, но они не отрабатывали по причине того, что, например, срабатывало ранее добавленное правило, расположенное выше. Павел Владимирович Коростелев, Руководитель отдела продвижения продуктов «Код безопасности» Павел Владимирович, с какой бизнес-задачей обычно приходят заказчики и как долго длятся проекты по миграции? – К нам действительно часто приходят партнеры и даже напрямую заказчики с задачей миграции с зарубежных аналогов. На самом деле можно смело сказать, что это вообще 100% наших проектов. Треть из них планировали переход на отечественный NGFW еще до 2022 года. Остальные пришли к нам уже после ухода зарубежных вендоров. Проекты по миграции в основном реализуются в течение полугода. Но, если говорить о полном цикле работ, начиная от планирования и заканчивая сдачей в эксплуатацию, то проект занимает примерно год. С каких зарубежных решений обычно осуществляется миграция? – В основном заказчики переходят с Check point, Fortigate, Cisco FP, Palo Alto или Stone Gate. С какими трудностями чаще всего сталкиваются технические специалисты при миграции и как это решается? – Сейчас мы сфокусированы на двух основных доработках в Континенте – наличием необходимого функционала и увеличением производительности в режиме NGFW. Часть функций добавляется в новых версиях – например, мы добавили SSO и планируем добавить VRF. Для некоторых функций мы реализуем интеграции со сторонними системами безопасности. Для решения проблем, связанных с производительностью, мы оптимизируем код со стороны разработки, используем появляющиеся новые высокопроизводительные платформы и реализуем интеграции с брокерами сетевых пакетов и балансировщиками.