Импортозамещение NGFW: практика внедрения и использования UserGate

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Согласно нашему недавнему исследованию, более 30% крупных российских компаний не верят, что отечественные средства защиты информации (СЗИ) могут заменить ушедшие решения западных вендоров. Самый востребованный, но и самый проблемный в импортозамещении класс СЗИ — это межсетевые экраны. Команда наших инженеров по сетевой безопасности систематически выполняет проекты, связанные с заменой иностранных решений на продукты отечественных вендоров. 

В этой статье мы сделаем обзор NGFW одного из лидирующих российских производителей — UserGate. Если вы ещё не решились на импортозамещение или находитесь в стадии выбора отечественного NGFW, думаю эта статья будет вам полезной.

NGFW от UserGate

События 2022 года, вследствие которых с российского рынка ушли Cisco, Fortinet, Palo Alto и другие западные вендоры, подстегнули переход наших клиентов на решения отечественных производителей. Наша команда инженеров по внедрению средств защиты сетевой инфраструктуры накопила опыт замены межсетевых экранов зарубежных вендоров на отечественные СЗИ.

Мы являемся одним из ведущих партнеров компании UserGate, которая поставляет  один из наиболее востребованных отечественных NGFW с широкой модельной линейкой. Мы работаем с ними уже более пяти лет, занимаемся поставкой и внедрением ПАКов, а также работаем по сервисной модели - покупаем железки на себя, делаем все работы по настройке и интеграции, а заказчик получает готовый сервис.

Говоря о NGFW от UserGate, мы подразумеваем следующую связку их продуктов:

  • Устройства Next-Generation Firewall — линейка межсетевых экранов (МСЭ) в виде ПАК или ВМ для установки на периметре корпоративной сети передачи данных или между её сегментами. Как и все межсетевые экраны нового поколения UserGate имеет ряд основных модулей защиты: модуль межсетевого экранирования, включающий потоковый антивирус, системы предотвращения от вторжений (IPS), SSL инспекцию, контентную фильтрацию, защиту почтового трафика.

  • Management Center — система управления распределенными МСЭ.

  • Log Analyzer — система сбора и анализа логов и их первичной обработки для мониторинга и обнаружения вторжений.

Все решения UserGate имеют сертификат ФСТЭК по требованиям к МСЭ и системам обнаружения вторжений (4 класса) для ПАК и ВМ. 

С точки зрения эксплуатации, сложнее всего сам процесс перехода на UserGate — проектирование, пуско-наладка, тонкая настройка. Последующая эксплуатация довольно проста. По мере возникновения вопросов их решает техническая поддержка UserGate. 

Когда выбрать UserGate

По нашему опыту NGFW от UserGate отлично подходят в следующих случаях: 

  • Когда через МСЭ проходит IMIX трафик до 8 Гб/с, требующий полного инспектирования. По нашему опыту, UserGate показывает высокую производительность модуля межсетевого экранирования и IPS. Кроме того, можно увеличить производительность, собрав UserGate в отказоустойчивый кластер active-active. В таком режиме можно добавить до 4 устройств одного типа, что значительно повышает эффективность обработки сетевого трафика.

  • Когда нужен NGFW -  нужно проанализировать и разобрать запросы по приложениям.

  • Компания занимается обработкой персональных данных или ГИС. В этом случае МСЭ на границе сети обязан иметь сертификат ФСТЭК не менее 4-ого класса защиты, который у решений UserGate имеется. 

  • Если у вас используется западные Proxy, Usergate подходит для их замены.

  • Требуется защита почты. UserGate предоставляет ее как встроенную функцию в виде MTA, с другими вендорами придётся закрывать эту потребность за счёт подключения дополнительных решений.

Процесс переезда

Переехать самостоятельно на UserGate с западных аналогов сложно. Причина в том, что функциональность отечественных и западных NGFW не соответствует друг другу. В связи с этим, миграция включает целый ряд нетривиальных шагов. Вот несколько примеров.

Перенос с устройств западных вендоров на UserGate правил и категорий URL / объектов / приложений. По нашему опыту, это самая трудоёмкая часть миграции. Нативно UserGate не поддерживает конвертацию политик других вендоров в свои. Пока не существует надёжного конвертера по миграции конфигурационных файлов, переиспользование исходных политик, к сожалению, возможно только частично. Кое-где потребуется заново создать и согласовать политики пользовательского доступа к URL и трафика приложений уже в терминологии категорий UserGate.

Оптимизация конфигурации сети и целых бизнес-процессов для адаптации к различиям по функциональностям между западными вендорами и UserGate. Например, Usergate не поддерживает разделение межсетевого экрана на контексты (виртуальные межсетевые экраны - VDOM). И если вы их использовали, то вам необходимо проработать оптимизацию, чтобы сеть работала без виртуальных контекстов. 

Для оптимизации нагрузки на NGFW и появления дополнительной мощности вам может понадобиться выборочно отключать модули защиты, в зависимости от положения устройства. Например, если большая часть трафика проходит между сегментами приватной сети, можно отключить определенные модули и сигнатуры на устройствах между этими сегментами и задействовать эти модули уже только на границе приватной и публичной сети.

Выполнение частных особенностей настройки UserGate, которые важно учесть. Например, разделение на зоны на сетевых интерфейсах требуется задать и в Management Center и на самих устройствах. А при работе с модулем HTTPS инспекции корневой сертификат УЦ следует сделать доверенным на всех устройствах конечных пользователей. Это обеспечит прохождение HTTPS-запросов.

Чтобы учесть все эти нюансы, мы крайне рекомендуем привлекать к проекту миграции команду, имеющую соответствующий опыт и методологии. Наработки опытной команды позволят выполнить миграцию быстрее, а знание нюансов переезда между конкретной парой вендоров снимет риски срыва сроков и будущих инцидентов.

Также, если для вас критичен аптайм — покупайте премиум-поддержку от UserGate, она вам сослужит хорошую службу как минимум во время переезда. 

Итог

UserGate — один из доступных для импортозамещения NGFW, который пользуется стабильным спросом среди наших клиентов. Он имеет сертификацию ФСТЭК, обладает высокой производительностью и предлагает ряд дополнительных функций, что делает его отличным вариантом для выполнении определенных задач.

Помимо базового набора из NGFW-устройств, Management Center и Log Analyzer, о которых я рассказал, и которые мы активно внедряем, UserGate развивает другие линейки устройств. Уже сейчас на их сайте доступны решения в классах IDS/IPS, SIEM (Security Information and Event Management), UTM (Unified Threat Management), фильтрации контента приложений и другие решения.

Спасибо за внимание! Приглашаю вас поделиться в комментариях вашим опытом работы с UserGate и пишите, про что вам ещё рассказать.

Источник: https://habr.com/ru/companies/k2tech/articles/783332/


Интересные статьи

Интересные статьи

Привет, Хабр!На примере малвары, используемой группировкой Kimsuky в 2021 году, я покажу, как можно упростить себе анализ, используя IDAPy для декодирования строк при статическом анализе сэмпла (или е...
Давно хотел написать статью на такую интересную и больную тему как импортозамещение. А именно, как это все выглядит и чем пахнет в той сфере, где я работаю – разработка и производство электронной техн...
Идея написания данной статьи возникла у меня тогда, когда я начал изучать корутины, это был 2019 год, тогда я только вошёл в Андроид-разработку и меня интересовало всё что с этим связанно. В то время ...
Из-за множества вопросов по сертификации продуктов Oracle OFSS (Oracle Financial Services Software) наша техническая поддержка сообщает, что в ноте OFSS Certified Configu...
Ранее мы рассказывали о том, что такое IdM, для чего он нужен, как финансово обосновать его внедрение и т.п. Сегодня речь пойдет о том, какие подводные камни могут возникнуть при внедрении сист...