Импортозамещаем NGFW. Наш опыт миграции c Palo Alto на Континент.

Лев Иванович, добрый день. Почему сегодня проекты по миграции на отечественные решения являются такими востребованными и популярными как в «Кросс технолоджис», так и в целом на рынке?

– Для выполнения указа нашего президента многие заказчики из сфер, относящихся к КИИ, стали приходить с задачей миграции с зарубежных решений на наши, отечественные, в частности частым запросом является «переезд» на российский межсетевой экран. В рамках последних наших проектов мы часто реализовывали переход именно на решение Континент разработанное компанией «Код безопасности». Заказчиков в первую очередь привлекает, что продукт российский. И, конечно, простота развертывания и высокая производительность устройств.
В чём особенности таких проектов?
– «Переезд» пока не всегда случается гладким. Мои коллеги смогут более подробно рассказать, с какими сложностями мы сталкивались и как это решали.



Павел Великов,
Архитектор по информационной безопасности «Кросс технолоджис»

Павел, расскажи, пожалуйста, с чего начался проект?

– К нам обратился заказчик с задачей миграции с Palo Alto на отечественный NGFW. В качестве отечественного NGFW заказчик выбрал Континент 4, т.к. ранее он работал с Континент 3.9.
Какие сложности возникли при реализации проекта миграции?
– Миграция – это достаточно сложный процесс, поскольку каждый производитель использует свою логику работы в механизмах защиты, перенос которых требует глубоко анализа и кастомизации. Одним из ключевых различий является используемый заказчиком функционал Zone-Based Firewall в Palo Alto, в то время как Континент 4 не использует зоны безопасности в правилах фильтрации.
Проанализировав исходные данные, мы начали искать методы, которые позволят оптимизировать процесс переноса правил фильтрации с Palo Alto на отечественный продукт.
После импорта сконвертированных правил на Континент 4 мы столкнулись с тем, что некоторые правила работали некорректно (трафик, попадая в цепочку контроля приложений, не может попасть в модуль URL-фильтрации и в дальнейшем может быть проверен только базовым межсетевым экраном и модулем контроля приложений).
Какие инновационные решения были разработаны нашими специалистами для преодоления этого вызова?
– Для решения данной проблемы нами была разработана уникальная структура правил, которая позволила избежать пересечений обработки трафика модулями Контроля приложений и URL-фильтрации.
Мы использовали модуль обнаружения вторжений на базе Suricata, который позволил одновременно использовать модуль контроля приложений и блокировать вредоносные url-адреса.
Какие еще проблемы были успешно решены специалистами компании «Кросс технолоджис» в рамках проекта миграции, кроме основной цели?
– Одной из важнейших задач в рамках проекта было именно обучение заказчика работе с новым решением. Поскольку ранее заказчик эксплуатировал только межсетевые экраны Palo Alto, а реализация механизмов безопасности в разных продуктах отличается, то требовалось научить заказчика использовать доступные механизмы безопасности для решения своих задач.
После кропотливой работы нашей команды и совместных усилий с заказчиком нам удалось выполнить перенос правил межсетевого экранирования и актуализировать их. Структуризация правил позволила избежать ситуации, когда администраторы межсетевых экранов добавляли бы правила в конец списка, но они не отрабатывали по причине того, что, например, срабатывало ранее добавленное правило, расположенное выше.

Павел Владимирович Коростелев, 

Руководитель отдела продвижения продуктов «Код безопасности»

Павел Владимирович, с какой бизнес-задачей обычно приходят заказчики и как долго длятся проекты по миграции?

– К нам действительно часто приходят партнеры и даже напрямую заказчики с задачей миграции с зарубежных аналогов. На самом деле можно смело сказать, что это вообще 100% наших проектов. Треть из них планировали переход на отечественный NGFW еще до 2022 года. Остальные пришли к нам уже после ухода зарубежных вендоров.
Проекты по миграции в основном реализуются в течение полугода. Но, если говорить о полном цикле работ, начиная от планирования и заканчивая сдачей в эксплуатацию, то проект занимает примерно год.
С каких зарубежных решений обычно осуществляется миграция?
– В основном заказчики переходят с Check point, Fortigate, Cisco FP, Palo Alto или Stone Gate. И для упрощения процесса мы используем инструменты миграции иностранных NGFW, которые позволяют автоматизировать процесс переноса политик – ранее они были доступны только для Check Point, но сейчас также есть у FortiGate.
С какими трудностями чаще всего сталкиваются технические специалисты при миграции и как это решается?
– Сейчас мы сфокусированы на двух основных доработках в Континенте – наличием необходимого функционала и увеличением производительности в режиме NGFW.
Часть функций добавляется в новых версиях – например, мы добавили SSO и планируем добавить VRF. Для некоторых функций мы реализуем интеграции со сторонними системами безопасности.
Для решения проблем, связанных с производительностью, мы оптимизируем код со стороны разработки, используем появляющиеся новые высокопроизводительные платформы и реализуем интеграции с брокерами сетевых пакетов и балансировщиками.

Ссылки на видео-кейс: VK, You Tube