Аппаратный брандмауэр — нужен или нет в моём случае?

Question

[MakarNepas]

Доброго дня всем. Меня сюда привели вопросы, на которые нет своих ответов, только размышления. Передо мной стоит задача проектирования новой сети моей организации (200 пользователей), превращение плоской сети в сегментированную, замена текущих устаревших узлов коммутации и маршрутизации, а также появление в ней нового, чего раньше не было. В том числе речь зашла об аппаратном брандмауэре. Ранее на защите внешнего периметра стояло софтверное решение, которое давно потеряло свою актуальность, обновиться не было возможности. И вот сейчас, рассматривая продукцию на рынке, появились вопросы.
1. Под требования регуляторов организация не попадает, поэтому мы не скованы выбором только отечественных сертифицированных решений. Изначально выбор пал на Zyxel UTM Flex 200, но подписки AV, AS, CF и пр. не продаются для РФ и РБ. Думаю, что и с другими брендами такая же обстановка. Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?
2. Допустим, обходными путями мы можем приобрести подписки, например, на другое государство с карты ин. банка. Может быть, кто-то подскажет будет ли это работать, если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?
3. Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco), то этой проблемы с оплатой нет. Но возникает вопрос более глобального плана. Стоит ли вообще приобретать устройство NGFW, если в организации отсутствует отдел ИБ, а есть только админы? Правильно ли я понимаю, что настроить и админить железку на уровне L2-L4 это совсем не тоже самое, как настраивать работу всего хозяйства на уровне L7. Ведь настройка и контроль за функционалом IDS/IPS действие не разовое, а постоянное, требующее наличие своего или стороннего SOC. Особенно если учесть, что у нас помимо традиционного офисного ПО, есть ещё и разработка, и тестирование, и удалённые сотрудники. Лично я понимаю, что в нашей ситуации SOC должен быть, но… я не собственник и не принимающий решения по финансированию. Так и стоит ли брать броневик с пулемётами, если в наличии нет стрелков, а есть только водитель? Верно ли утверждение, что UTM устройство, которое настроено лишь на уровне L2-L4 не будет отличаться от того же Микротика на этом же месте в сети.

Comments

[Komrus]

По поводу файрвола и отдела ИБ:
Вопрос можно переформулировать: "надо ли ставить забор, если у нас нет вооружённой охраны?"
Обычно - заборы ставят таки. Даже на дачных участках. И по опыту - лучше просто забор, даже без охраны, чем полное отсутствие оного :)

[Andrey Lutsenko]

Я не всегда согласен с CityCat4 но тут я скажу тоже самое - если хотите IDeco - берите не тест, сразу не пускайте в работу

Answer 1

[CityCat4]

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.

Comments

[MakarNepas]

понтоваться не перед кем. Вопрос в том, что руководство пляшет от цен, а не от обязательств, на текущую ситуацию, а не на возможные перспективы. И если Zyxel дешевле чем, Usergate, то он хороший, а тот плохой. Но нужно ли ВААПЧЕ устройство NGFW, пусть даже отечественное, если ИБшников нет. Должны быть, но их нет, и неизвестно будут ли. Не буду петь здесь очередную песню про скупых руководителей, это без меня всем известно. Изначальный подход мой был такой. Внешний периметр, DMZ это аппаратный NGFW. Админы настраивают на своём уровне, ИБ на своём, или полностью данную железку настраивают ИБ. Далее стоит маршрутизатор, далее коммутаторы. С отделом ИБ пока получил я от руководства СТОП, а задача выбора и покупки NGFW осталась. И вот мне непонятно зачем он нужен без соответствующих компетентных спецов. Ищу аргументы и мнения. Единственное, что взять его на перспективу, но пока что настроить как маршрутизатор? И если появятся всё-таки ИБ, то будет возможность настроить его полноценно и использовать весь функционал. А если его не покупать и поставить на это место, например, микротик, то в случае появления ИБ придётся снова выбирать и покупать аппаратный МЭ.

[CityCat4]

MakarNepas, В наших реалиях отдельный аппаратный шлюз нужен только, если нужна сертификация от органов. Во всех остальных случаях должно хватить обычного микротика, потому что тот же ideco например - просто линух, в который впихнуто некоторое количество хорошо известного софта типа squid.
Забей на МЭ, ставь микротик, тем более раз ИБ-шников пока не согласовали - админить его придется тебе :)

Answer 2

[Drno]

pfSense или микротик cloud hosted router \ аналогичный железный микротик
пока непонятно зачем Вам аппаратный брендмауэр

ну либо голая убунту в роли шлюза и там уже рулите как хотите в консольке)

Comments

[MakarNepas]

вы предлагаете софтверные решения, но оно и так есть. Суть вопроса в необходимости покупки и внедрения аппаратного NGFW. Насколько нужен тот же, к примеру, UserGate D200, если фильтрация на уровне L7, различные ИБ инструменты не будут задействованы, т.к. некому это всё мониторить на сегодняшний день. При таком раскладе не превратится ли крутой МЭ нового поколения в "просто машрутизатор"? Вот в чём вся суть вопросов.

[Drno]

MakarNepas, превратиться конечно.
а по Вашему софтверные решения не умеют мониторить L7 ?)

[MakarNepas]

Drno, умеют. Только за этим L7 должен кто-то компетентно бдить. И одно дело бесплатное софтверное решение, за которым на этом уровне или бдят или не бдят. А другое дело покупка железа, за которым на уровне 7 заведомо известно, что бдить некому. Вот я о чём. Изначально я задумывался о связке люди/железка. С людьми я был остановлен, а с покупкой железки "под них" нет. И вот я хочу объяснить руководству, что одно без другого не нужно. Собираю мнения и аргументы.

[Drno]

MakarNepas, ну ненужно да, если нет людей...)

[graf_Alibert]

MakarNepas, в любом случае должна быть связка люди/железка - хоть аппаратное, хоть софтварное решение!