Журнал "Information Security/ Информационная безопасность" #6, 2023

Ошибка 5. Коэффициент неправды Самая часто встречающаяся ошибка при выборе межсетевого экрана – сле- пое доверие техническим описаниям от производителя. Каждый вендор при- водит большое количество цифр, кото- рые в какой-то степени должны харак- теризовать производительность меж- сетевого экрана. Но основная проблема в том, что ни одна из этих цифр не была получена для вашей сети. Все тесты были проведены в лабораторных условиях с ограниченно включенными настройками и на синтетическом про- филе трафика. Современные технические описания во многом бесполезны для выбора межсетевого экрана. В погоне за боль- шими цифрами каждый производитель проводит тестирование в искусствен- ных условиях для разного трафика. Один, например, будет проводить изме- рение максимального количества сес- сий в секунду для протокола HTTP, а другой – уже для протокола TCP. С точки зрения межсетевого экрана это изучение абсолютно разного тра- фика, показатели могут различаться в несколько раз. Результаты этих тестов не дадут сравнить производительность этих двух межсетевых экранов между собой и сделать какие-то выводы. Еще менее информативны резуль- таты тестов производительности. Редко в каком техническом описании можно встретить детали условий тестирова- ния. И практически невозможно найти тесты, которые хотя бы отдаленно будут напоминать нагрузку вашей сети. Сроки поставки оборудования и внут- ренние бизнес-циклы часто ставят заказчиков в ситуацию вынужденного выбора межсетевого экрана нового поколения без проведения лаборатор- ных испытаний, исключительно на основе технических описаний – эта ситуация чрезвычайно опасна. Про- изводители преимущественно публи- куют результаты измерений для той или иной функции в искусственных тестах, когда на межсетевом экране запущена именно эта функция и выключены все другие механизмы защиты и обработки трафика. Резуль- таты в большинстве случаев получают- ся обнадеживающими, но, когда дело доходит до реальной эксплуатации с большим количеством правил и одно- временно запущенных модулей, про- изводительности выбранного устрой- ства не хватает. В 2022 г. мы начали разработку собственного межсетевого экрана нового поколения PT NGFW 4 . Наша команда разработки состоит не только из программистов, но и из инженеров с огромным опытом практической экс- плуатации, многие из которых сами совершали аналогичные ошибки и доверяли завышенным цифрам техни- ческих описаний. Мы поставили перед собой цель – выпустить не только самый произво- дительный и надежный межсетевой экран, но и максимально открыто гово- рить о ходе разработки, наших победах и неудачах. А еще мы хотим выпускать продукт, в техническом описании кото- рого результаты тестов будут не ниже, чем то, что вы увидите в реальной сети. Для этого мы создали специ- альные тесты, генерирующие наиболее сложный для обработки трафик. Имен- но результаты этих тестов мы публи- куем во всех официальных материалах и демонстрируем в рамках нашего реа- лити-шоу "PT NGFW за стеклом" 5 . Все наши результаты можно проверить в рамках собственных лабораторных испытаний. Совет: никакие синтетические тесты не повторят реальной ситуации в вашей сети. Проводи- те нагрузочные испытания при выборе межсетевых экранов. Сравнивайте полученные цифры с техническим описанием про- изводителя. Не доверяйте никому, проверяйте осознанно. Помните, что межсетевой экран – это пер- вый рубеж сетевой обороны, который вы устанавливаете на несколько лет. 36 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru 4 https://www.ptsecurity.com/ru-ru/products/ngfw/ 5 https://www.youtube.com/playlist?list=PL9DK6EgRl1gVQmcbiWleQkrFEmIo5fBnx Рис. 2. Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies, на Moscow Hacking Week презентует вторую раннюю версию PT NGFW