- безопасность
В прошлый раз мы обсуждали, с какими вызовами столкнулся рынок межсетевых экранов в России и на что теперь нужно обращать внимание при выборе поставщика NGFW. В этой статье переходим к следующему этапу — внедрению продукта.
Начнем с вопросов
Допустим, вы определились с вендором. Его решения устраивают вас по всем критериям, в том числе по функционалу, варианту исполнения и наличию всех необходимых сертификатов. Но что делать дальше?
Основываясь на собственном опыте, мы создали чек-лист для компаний, которые планируют внедрять NGFW. Вопросы в нем помогают бизнесу избежать ошибок, которые обычно приводят к удорожанию или затягиванию процесса.
Конечно, критериев в чек-листе на практике может быть больше. Но мы рекомендуем для начала сфокусироваться минимум на пяти вопросах:
1. Для какого количества площадок необходим NGFW?
Ответ поможет заранее определить оптимальное количество необходимых устройств, а также более четко спланировать бюджет на внедрение.
2. Какими должны быть требования по сайзингу?
Вопрос нужен для того, чтобы подобрать оптимальную модель межсетевого экрана. Важно понять, какой должна быть пропускная способность файрвола. А еще стоит сразу определиться с необходимым набором модулей безопасности. Все-таки чем больше функционала мы подключаем, тем ниже пропускная способность NGFW.
Если вы планируете использовать виртуальный NGFW, для более точного сайзинга рекомендуем провести пилотный проект.
3. Какие у вас требования к отказоустойчивости?
Необходимо решить, требуется ли кластерное решение. Такая конфигурация удобна при проведении различных технических работ, в том числе по обновлению устройства. С одной нодой есть высокий риск потери данных и простоя бизнеса. В случае с кластером он существенно ниже.
Хотя есть один нюанс. Вендоры по-разному представляют кластеризацию и то, как она должна быть устроена. В итоге каждый реализует ее по-своему, в том числе и на уровне работы кластеров. Чтобы не было недопониманий в процессе внедрения, лучше ознакомиться с видением вашего вендора заранее.
4. Нужна ли централизованная система управления межсетевыми экранами?
Допустим, у вас несколько NGFW. Можно заходить точечно в каждое решение, настраивать его, смотреть логи и выполнять другие действия. Но это совсем не удобно, особенно если у вас пять или больше NGFW.
5. Нужна ли централизованная система сбора и анализа событий?
Межсетевые экраны часто поставляются без встроенного жесткого диска, а значит, для хранения логов может потребоваться какое-то централизованное решение. Также на такую необходимость указывают PCI DSS и другие стандарты, действующие на международном рынке и в России.
Централизованная система управления также позволяет быстрее анализировать данные со всех устройств, в том числе при расследовании инцидентов.
Популярные сценарии
Как будет проходить внедрение NGFW и какой будет архитектура решения, во многом зависит от предыстории проекта. Рассмотрим сценарии, с которыми мы сталкиваемся чаще всего.
1. Аппаратный + виртуальный NGFW
Когда использовать: если компания осталась без поддержки и актуальных сигнатур по аппаратному решению. Еще один кейс — когда функционала старого файрвола уже недостаточно.
Также схема полезна в случае, если старый NGFW устраивает, но он не имеет сертификатов ФСТЭК, ФСБ и других регуляторов. Виртуальный NGFW со всеми необходимыми сертификатами и аттестациями поможет решить эту проблему, причем с минимальными финансовыми вложениями.
Алгоритм действий: к уже имеющемуся аппаратному решению добавляем виртуальный NGFW on-premise или по подписке в облаке провайдера. Настраиваем сетевую связь со старым межсетевым экраном. Внешний трафик частично или полностью переключаем на новый файрвол.
В такой схеме, если что-то пойдет не так, проще откатить изменения и вернуть все к изначальному виду.
Со временем компания может полностью перейти на новое облачное решение и отключить старый NGFW. Также виртуальным продуктом можно воспользоваться временно. Например, до тех пор, пока вендор старого файрвола не вернется в Россию.
2. Миграция на облачный файрвол с минимальным простоем
Когда использовать: если у вас нет сомнений, что вы должны отказаться от старого аппаратного продукта.
Алгоритм действий: полный переезд в облако. В этом случае на виртуальный NGFW переводится весь трафик компании.
Процесс можно разделить на четыре этапа:
- Проводим аудит настроек, используемых на старом файрволе.
- Переносим настройки на новый NGFW. При необходимости адаптируем их, так как интерпретация одних и тех же функций у производителей может быть разной.
- Тестируем. В течение какого-то времени отлавливаем ошибки, которые могли появиться при переносе настроек, вносим корректировки.
- Постепенно настраиваем и подключаем модули безопасности. Сначала запускаем в режиме мониторинга, потом проводим аудит логов. Когда все настроено и работает без проблем, переводим в режим prevent.
3. Внедрение NGFW с нуля
Когда использовать: если межсетевого экрана нового поколения в компании еще не было.
Алгоритм действий: шаги такие же, как в предыдущем сценарии. Меняется только одно — сбор изначальных данных для настроек нового решения.
Теперь старого NGFW нет. Поэтому проводится аудит настроек, которые используются на сетевом оборудовании. А далее проходим по уже знакомому алгоритму: перенос настроек на файрвол, тестирование и отладка модулей.
Чем удобен NGFW по подписке
Если есть сомнения в правильности выбора, всегда лучше провести пилотное внедрение продукта. Сделать это можно самостоятельно. Достаточно купить лицензию вендора или взять ее в аренду. Но в таком случае разбираться в продукте придется самостоятельно.
Другое дело — подключить NGFW как услугу. Какие в этом варианте есть плюсы, рассмотрим на примере сервиса от НУБЕС (Nubes).
Мы предоставляем на выбор три виртуальных NGFW по подписке: CheckPoint, UserGate и Sangfor. Если есть необходимость, по каждому из них проводим пилотные проекты. В комплекс мероприятий входят развертывание виртуального решения, настройка сетевых интерфейсов, маршрутизации трафика, правил межсетевого экранирования и необходимых модулей безопасности.
Вместе с новым файрволом от Nubes вы получаете экспертизу и помощь при внедрении от наших опытных ИБ-инженеров, а также техподдержку, актуальные базы сигнатуры — все, чего нет в аппаратном продукте.
Но самое главное — подключать NGFW по подписке выгодно. Решение оплачивается помесячно, не нужно вносить большую сумму за год вперед, покупать дополнительное оборудование и лицензии, а также нанимать дорогостоящего администратора NGFW в штат или тратить ресурсы на переобучение имеющегося персонала.
При этом есть возможность масштабирования. Мы всегда можем быстро скорректировать мощность вашего межсетевого экрана — как в большую, так и в меньшую сторону. Нужно лишь сообщить о такой потребности, и наши специалисты подберут подходящее решение и новый тариф.