Виртуальные NGFW: что это такое, когда нужны и как работают

Спрос на виртуальные средства защиты растет с каждым годом. Одним из самых популярных из них является NGFW. При этом множество компаний используют виртуальное решение по подписке. В большинстве случаев такой вариант намного выгоднее и удобнее, чем закупка и обслуживание аппаратного комплекса.

Что представляет собой виртуальный NGFW и какие у него есть преимущества, рассказываем в этой статье.

Чем отличается виртуальный NGFW

Изначально файрвол нового поколения (NGFW, Next-Generation Firewall) создавали как локальное решение. Технически это программно-аппаратный комплекс. С его помощью компании защищают сети, устройства и системы от кибератак, уязвимостей и различного вредоносного ПО. Помимо традиционных задач файрвола в NGFW также встроены функции глубокого анализа входящего трафика и проактивного обнаружения угроз.

Сегодня производители NGFW выпускают не только аппаратные, но и виртуальные решения. Так, например, две версии предлагают Cisco, Palo Alto, FortiGate, CheckPoint, Sangfor и другие иностранные вендоры. Также виртуальные межсетевые экраны есть на рынке российских NGFW. Самые известные решения поставляют компании Ideco и UserGate.

Из названия понятно, что виртуальный NGFW — это продукт, который развертывается в облачной инфраструктуре. Он не требует покупки дополнительного оборудования и его обслуживания. Также часто его как услугу предоставляют облачные провайдеры. В этом случае клиент получает по подписке и готовую виртуальную инфраструктуру, и средство защиты от эксплуатации уязвимостей и кибератак.

Обычно функциональность виртуального решения соответствует возможностям программно-аппаратного комплекса. Единственное важное отличие NGFW в облаке — ограничение производительности, которая сильно привязана к «железу» облака.  Виртуальный NGFW обеспечивает необходимую пропускную способность для большей части компаний. А если нужна производительность выше 20 Гб/с с + в режиме IPS и т.д., то это уже ПАК.

Преимущества виртуальных NGFW

Главный плюс файрвола в облаке — его проще масштабировать, особенно когда требуется высокая скорость реагирования на изменения в инфраструктуре. Это хороший вариант, если у вас непостоянный объем трафика, его сложно спрогнозировать и есть пиковые нагрузки на приложения в течение года.

Такая картина часто складывается в ритейле. Сезонные распродажи, рост штата при экспансии на новый рынок, расширение базы поставщиков — есть множество факторов, которые могут спровоцировать изменение трафика передаваемых данных в компании. Текущий межсетевой экран может не справиться с нагрузкой, и тогда потребуется замена на более производительный вариант.

Обновить аппаратное решение дешево и быстро — непростая задача. Чтобы купить более производительный NGFW, нужны крупные капитальные вложения. На доставку аппаратного комплекса и его настойку уйдут недели. За это время объем трафика может снизиться до показателей, которые были ранее. В итоге есть риск, что высокопроизводительный файрвол будет куплен и настроен, но окажется не нужен.

В случае с виртуальным NGFW, если резко возрастет трафик, нужно только добавить дополнительные ядра. Процедура займет гораздо меньше времени и обойдется в разы дешевле, чем в истории с заменой на новый программно-аппаратный комплекс.

В случае с сервис-провайдером достаточно только обращения к нему и оплаты нового тарифа. После чего компания получит более производительный NGFW. А если объем трафика снизится, можно оперативно вернуть виртуальное решение с исходными характеристиками. Таким образом можно быстро отреагировать на ситуацию и благодаря этому сэкономить на текущих ИБ-затратах.

Гибкость оплаты —- второе важное преимущество виртуального NGFW. Расходы могут быть как ежегодными, так и помесячными. Вендоры и сервис-провайдеры часто предоставляют выбор периода оплаты. Но если помесячного тарифа нет, то поставщики могут предложить решение в рассрочку.

Также сервисная модель предполагает администрирование на стороне провайдера. Чтобы эффективно управлять файрволом, компании не нужно содержать в штате дорогостоящих специалистов NGFW. Всеми процессами — от мониторинга и настройки правил до установки обновлений — занимаются компетентные инженеры провайдера.

С решением по подписке вы также получаете высокую экспертизу по продукту и вопросам безопасности облачной инфраструктуры в целом. Провайдер несет ответственность за эффективность работы NGFW, гарантирует ее в рамках соглашения SLA. Он коммерчески и юридически заинтересован в предоставлении качественных услуг.

Еще лучше, если провайдер предоставляет сервис из «одного окна», который одновременно включает облачные ресурсы и администрирование NGFW. Если возникнет ИБ-событие, то разобраться в нем инженерам из одной компании будет намного проще и быстрее.

Виртуальный или аппаратный: что лучше?

На выбор между виртуальным и аппаратным NGFW влияет множество факторов. Например, если вы только задумываетесь о покупке нового средства защиты, то лучше рассмотреть первый вариант. Причем виртуальный файрвол выгоднее брать в аренду у сервис-провайдера. Так можно обойтись без крупных инвестиций в оборудование и лицензии. Оплата проводится по мере использования сервиса, а значит нет риска заплатить лишнее, если NGFW не подойдет по функционалу или потребуется иная производительность.

Другая ситуация: если есть аппаратный комплекс, но нет поддержки вендора. Такое происходит, когда разработчик NGFW покинул рынок России. В этом случае он прекращает не только поддерживать свое аппаратное решение, но и обновлять сигнатуры. Чтобы снова не вкладывать внушительные суммы в appliance, есть смысл рассмотреть виртуальное решение от другого вендора. Оно поможет усилить текущую систему защиты в компании.

Если есть опасения, что новый иностранный вендор тоже уйдет с рынка, то можно подключить виртуальный NGFW от отечественного производителя. Так риски остаться без поддержки ниже, а соответствовать требованиям регуляторов проще. Крупные вложения на подключение виртуального решения не требуются, а миграция не растянется на недели и месяцы.

Как мы уже сказали ранее, при выборе нужно отталкиваться от объема трафика в компании. Если он большой (выше 20 Гб/с) и вы планируете использовать функционал NGFW по максимуму, то лучше рассмотреть аппаратный вариант. Также он больше подходит территориально распределенным компаниям, которым необходимо защищать трафик на множестве удаленных друг от друга площадок и подразделений.