Журнал "Information Security/ Информационная безопасность" #6, 2023

У компании UserGate свой особенный путь в разработке продуктов. Это уни- кальное сочетание софтверных и плат- форменных решений, которое позволяет получить высокую производительность и при этом сохранить технологическую независимость. Правильность изначаль- ного выбора такой стратегии развития стала особенно очевидна в последние 2–3 года. И в сложившихся обстоятель- ствах нам не пришлось вносить в нее кардинальные изменения – процесс раз- работки и производства не останавли- вался ни на день. Технологическую независимость можно разбить на три компоненты: софт, аппаратные платформы и стык между софтом и железом. Технологическая независимость: софт Софтовая независимость – это собст- венная кодовая база. На рынок NGFW может выйти любая компания, у которой есть программисты. Надо лишь взять подходящие проекты с открытым исходным кодом, соединить – и вуаля! – продукт готов. Конечно, сам факт использования открытого кода не является чем-то зазор- ным. Да и в многообразии Open Source встречаются весьма хорошие проекты. Проблема Open Source заключается в том, что это есть зависимость. Кодовые базы в репозиториях почти всегда конт- ролируются сообществом. И что стало происходить с начала 2022 г.? Отключе- ние доступа к репозиториям для рос- сийских компаний, закладки злоумыш- ленников, которые определяют регион запуска продукта для изменения функ- циональности. Таких сюрпризов уже немало, но, скорее всего, их станет еще больше. Второй негативный эффект от исполь- зования Open Source – это невладение кодовой базой. Какие-то в общем случае неизвестные программисты написали код, который в большинстве случаев невозможно проанализировать. Компа- ния, которая берет за основу проект Open Source, по большому счету сама не знает, что внутри у получившегося продукта. Один из популярных сценариев раз- работки на базе Open Source – создание форка (ответвления) от основного про- екта. Дальнейшая разработка на такой кодовой базе сложна и непредсказуема. Если сообщество внесло в основную ветку какое-либо большое изменение, то первый путь для компании – отка- заться от этих изменений и продолжать вести свою ветку. Второй путь – отка- заться от своих доработок и вернуться в основную ветку, потому что зачастую форки становятся несовместимыми с материнским проектом. Есть и третий вариант: все свои правки добавлять в основной проект Open Source. Но в России это редкий случай, поскольку коммерческой компании всегда тяжело отдавать результаты своего труда в общее пользование. Вот и получается то, что кодовая база Open Source совсем не принадлежит компании, ни лицензионно, ни фактиче- ски. Разработчики не могут ее контро- лировать, а значит, и не могут эффек- тивно влиять на ее развитие. Единственный верный вариант, к кото- рому пришла компания UserGate, – это писать код самостоятельно. Это, без- условно, очень сложно, долго, дорого и трудоемко. Но стремящимся к техноло- гической независимости разработчикам все равно придется рано или поздно выбрать этот путь. Только такое решение позволяет быть независимым от чужих технологий. Технологическая независимость: железо Ситуация с железом примерно такая же: есть производители аппаратных платформ, можно купить любую из доступных и поставить на нее свой софт, чтобы получить ПАК. Но дело в том то, что NGFW – это весьма специфический класс систем. Он имеет дело с сетевым трафиком, а платформы общего назначения к тако- му приспособлены довольно плохо. В сегментах малого и среднего бизне- са этот недостаток не очень заметен из- за не очень высоких нагрузок. Но если производитель NGFW становится залож- ником архитектуры общего назначения, путь на Enterprise-рынок для него, скорее всего, окажется закрытым. На практике оказывается, что для устойчивой работы с большим трафиком нужно уметь проектировать и произво- дить свое железо, а также работать с сетевым трафиком на этом уровне, а не только на уровне софта. Важно быстро обрабатывать сетевые пакеты, а для этого нужно уметь производить умные сетевые карты типа SmartNIC и сопро- цессоры ПЛИС (FPGA). Компания UserGate к этому долго шла, но сейчас активно занимается вопроса- ми аппаратной независимости в пара- дигме "для специфичного устройства нужна специфичная аппаратная плат- форма". Связка железа и софта Еще один аспект – технологии, которые все же позволяют вести эффективную работу с сетевым трафиком на платфор- мах общего назначения. Например, ком- пания Intel продвигает технологию уско- ренной обработки DPDK – это достаточно известная технология, и многие разра- ботчики NGFW ее используют в своих решениях для повышения скорости обра- ботки сетевого трафика. Но есть нюанс: такой путь так же зажимает разработчика в тиски чужой технологии, как это было в ситуации с кодовой базой. Разработчик адаптирует свой софт под технологию, которой он не владеет. Поэтому, как только появятся ограничения по ее доступности в России, вложенные в раз- работку инвестиции пропадают. Технологическая независимость тре- бует, чтобы вендоры систем защиты 22 • СПЕЦПРОЕКТ Важные слагаемые развития NGFW: опыт UserGate азработка NGFW – это долгая, сложная и ресурсоемкая история. Создание успешного продукта – это не только правильное стратегическое и технологическое видение того, как технологии и рынок будут развиваться в перспективе 5–10 лет. Реальная универсальность и эффективность решения NGFW зависит от целого спектра условий, которые мы рассмотрим в этой статье. Р Иван Чернов, менеджер по развитию UserGate