Пациент скорее жив, чем мертв или Слухи о смерти шлюзов под Windows несколько преувеличены

    Лет 20 тому назад в качестве сетевых шлюзов использовались обычные серверы или даже офисные компьютеры. Простые фильтры пакетов ничего не знали о прикладном уровне модели OSI, не умели анализировать разнообразный контент, а тем более — распознавать сетевые атаки. Развитие комбинированных решений в сфере безопасности началось с продуктов для Windows, но со временем их сменили специализированные аппаратные шлюзы. Даже корпорация Microsoft отказалась от Forefront TMG (в девичестве — ISA Server), сохранив, впрочем, расширенную поддержку продукта до 2020 года. Мы тоже не остались в стороне от новых рыночных тенденций, создав линейку работающих под управлением FreeBSD устройств. Тем не менее, мы продолжаем поддерживать наше Windows-решение, на днях выпустив его обновление. Делаем мы это не из жалости к “старичку” — он до сих востребован у заказчиков и неплохо продаётся. Поэтому громко заявляем: слухи о смерти программных шлюзов безопасности для “виндовс”, мягко говоря, преувеличены.



    Что такое UTM?


    Комплексные продукты для защиты корпоративного периметра разливают все связанные с обеспечением сетевой безопасности функции из одного флакона: систему обнаружения и предотвращения вторжений, межсетевой экран, сервис VPN, антивирусную проверку контента, а также мониторинг веб-сессий и другие полезные штуки. В небольших компаниях эти решения обеспечивают совместный доступ сотрудников в интернет, т.е. умеют NAT, http-proxy с аутентификацией и т.д. Такие универсальные шлюзы безопасности называют UTM (от англ. Unified threat management) или NGFW — файрволами следующего поколения. Маркетологи разносят их по разным классам: NGFW предназначены для крупных предприятий, а UTM — для малого и среднего бизнеса. На самом деле функциональность продуктов одинакова и разными аббревиатурами обозначают их рыночное позиционирование, а также возможность выдерживать серьезные нагрузки. Настроить комплексное решение с нуля достаточно сложно, поэтому постепенный переход на аппаратные шлюзы с предустановленным ПО был вполне логичным. Для их создания вендорам гораздо удобнее использовать свободно распространяемые операционные системы и написанные для них продукты с открытым кодом и, в теории, это должно было похоронить UTM-решения для Windows окончательно. Однако некоторым из них удалось не только выжить, они неплохо преуспевают и не собираются умирать.

    Спрос и предложение


    Выпустив линейку новых устройств, мы не только поддерживаем решение под Windows, но и продолжаем активно его развивать. Опросы клиентов показывают, что у него есть ряд конкурентных преимуществ, а операционная система для большинства покупателей не является решающим фактором при выборе продукта. Много лет назад из-за многочисленных уязвимостей сисадмины считали Windows неподходящей платформой для организации шлюза, но этот миф практически умер — в Microsoft давно довели свои серверные ОС до ума. Что касается удобства использования, современные UTM настраиваются через веб-интерфейс (в Windows может также использоваться консоль администрирования) и прослойка между ними и серверным железом уже не имеет серьезного значения. Тем не менее, многие участвовавшие в опросе заказчики отмечают, что в их корпоративной ИТ-инфраструктуре все построено на Windows и при прочих равных решение для знакомой администраторам платформы оказывается предпочтительнее.

    Интереснее другой вопрос: почему вместо специализированной железки заказчики предпочитают купить лицензию на программный продукт? Для небольших компаний решающим фактором становится цена: аппаратный UTM стоит несколько десятков тысяч рублей, а для установки программного решения можно использовать имеющиеся компьютеры или даже запустить его на виртуальной машине без затрат на железо. Многие государственные организации и учебные заведения раньше использовали Microsoft Forefront TMG, но изменения в российском законодательстве потребовали сертифицированного продукта для работы с персональными данными и фильтрации незаконного контента (необходим сертификат соответствия, выданный ФСТЭК РФ). При этом сервер и операционная система у таких заказчиков уже были, им хватило простой замены импортного продукта на отечественный. Ещё один немаловажный фактор — привычка: если админ уже имеет опыт работы с каким-то решением, то и дальше он его предпочитает устанавливать своим клиентам или новым работодателям.

    Что говорят клиенты?


    Мы обзвонили тех, кто продолжает использовать решения под Windows с одним вопросом “Почему?”. Респонденты отметили простоту установки и использования, а также хорошую интеграцию с Active Directory. Упомянули также в качестве преимущества встроенный контент-фильтр NetPolice (особенно часто вспоминали про него учебные заведения), наличие подробной русскоязычной документации и расширенную техподдержку. И ни один человек нам не сказал, что решение под Windows — это прошлый век и пора бы нам от него отказаться. Пока продукт пользуется спросом, мы будем его развивать.

    А что думаете вы?

    Smart-Soft 38,29
    Компания
    Поделиться публикацией
    Комментарии 11
    • +4
      У меня только один вопрос — если инженеры Microsoft довели свои серверные системы до ума — откуда взялся и Петя и другие win-ориентированные громкие истории?
      • 0
        Они не совсем на сервера ориентированы же
        • 0
          Ну в некоторых банках повыносили серверную инфраструктуру тоже…
          • 0
            Уязвимости находят и в unix-системах, своевременную установку патчей никто не отменял. К слову, упомянутые вами зловреды эксплуатировали давно закрытые к моменту их появления дырки. Установившие исправления компании не пострадали.
            • 0
              Уязвисоти очень сильно отличаются от вирусов и, тем более, от эпидемий вирусов. Потому что уязвимость травмирует одну систему, а вирусы делают это массово.
        • –2
          Есть мнение, что это подарокдырка от АНБ, не сделать которых МС не смогла по понятным причинам. А Petya или WannaCry просто варианты использования.
          Причем стоит отметить, что заражены были не все, а только те кто не поставил аппаратный файрволл или не поставил патчи.
          • –1
            ОК, тогда это ещё один повод не использовать на серверах продукты МС.
            • +1
              Это ещё один повод вовремя ставить патчи, а версия про АНБ слабовата всё-таки.
              • 0
                Я тоже считаю, что слабовата. Однако полностью исключать её тоже нельзя. Проблемы проприетарного ПО.
        • 0

          Как раз переводим шлюз с винды на FreeBSD. Все-таки винда не для того предназначена.

          • 0
            Практика показывает, что шлюз безопасности и под Windows замечательно работает.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое