Кейс: создание доверенной сети для маркетплейса.

1. Общее описание ситуации

Статья инспирирована кейсом, связанным с заменой оборудования Fortinet FortiGate 100X/200X/400X на отечественные аналоги в одном российском маркетплейсе. Ситуация, впрочем, типична. Думаю, описание процесса выбор будет полезным для разного рода специалистов. К какому бы решению каждый ни пришел, есть необходимость общего понимания целей и решаемых задач.

Необходимость замены оборудования возникла по двум причинам:

  • Отказ западного вендора в технической поддержке, что само по себе для такого рода индустрии крайне критичная вещь.

  • Взгляд в будущее, есть требования регулятора рынка и незачем создавать ситуацию обострения и претензий.

Ни для кого не секрет, что маркетплейсы прочно заняли свою долю рынка и продолжают ее наращивать.

Что такое маркетплейс для продавца:

  • Расширение аудитории;

  • Удобное управление и маркетинговая поддержка;

  • Снижение издержек.

Что такое маркетплейс для покупателя:

  • Удобство: покупатели могут находить различные товары и услуги на одной платформе, сравнивать их цены и характеристики, что делает процесс покупки более удобным.

Что такое маркетплейс для ВСЕХ:

  • Доверие и безопасность: маркетплейсы имеют системы обеспечения безопасности и защиты покупателей.

  • Инновации и конкуренция: конкуренция между продавцами на маркетплейсе стимулирует инновации и улучшение качества товаров и услуг, что в итоге приносит пользу покупателям.

  • Глобальная доступность: многие маркетплейсы работают на мировом уровне, что позволяет как продавцам, так и покупателям участвовать в торговле на международном рынке.

Как следствие, обеспечение информационной безопасности для маркетплейса необходимо для защиты интересов как пользователя, так и продавца, и является неотъемлемым аспектом успешной работы любой площадки.

В процессе первоначального обсуждения ТЗ (технического задания), были рассмотрены устройства следующих отечественных вендоров: Код Безопасности (Континент), Infotecs (ViPNet), UserGate, ТСС (Diamond), Ideco, S-Terra, НПО Эшелон (Рубикон), Numa, Eltex - по сути это все серьезные игроки на рынке NGFW на начало 2024 года.

2. Техническая вводная

Перейдем к ключевому вопросу, который требует внимательного подхода. Здесь мы сталкиваемся с ситуацией, где требуется объективное понимание и четкие требования со стороны заказчика.

А есть следующее. Офисы, десятки складов и крупных складов, сотни сортировочных центров и их работники - менеджеры, представители, техники и т.д. И всем нужно обмениваться информацией с минимальной потерей во времени.

Теперь более детально о желаемом (весь список до мелочей оглашать не стану, только, чтобы сформировать некоторое представление о задачах):

  • отказоустойчивость – возможность кластеризации и\или возможности быстрого восстановления при сбоях;

  • Site-to-site и remote access VPN.  Для подключения филиалов и удаленных пользователей;

  • ФСБ сертификация VPN необязательна (хотя рассматривалась на возможные будущие законодательства или ограничения регулирующих структур), так – что сразу развязывает руки (поясню, обработка и передача персональных и прочих чувствительных данных происходит в отдельных сервисах, в том числе, с помощью отдельно-стоящих устройств внутри периметра, которые не связаны с общей массой устройств сетевой инфраструктуры, которые предполагалось заменить);

  • IPSec, IKE v1/v2 и другие протоколы - для совместимости с различными производителями, и, как следствие, упростить взаимодействие со сторонним оборудованием партнер (что иногда тоже является проблемой среди российского оборудования);

  • DMVPN. Для простоты масштабируемости (не нужно знать публичные адреса, создавать статичные туннели. плюс повышается отказоустойчивость);

  • SSL VPN. Для некоторых удаленных сотрудников хотелось бы подключение без установки клиентского ПО с использованием сертификатов и, так называемой, прозрачной авторизации. То есть, аутентификации пользователя без его непосредственного участия;

  • интерфейсы: 1000Base-T, 10GBase-X SFP+ (не менее двух на устройство), агрегация интерфейсов LAG/LACP;

  • маршрутизация BGP, OSPF, поддержка BFD;

  • поддержка Syslog;

  • прочие стандартные функции: доступ по SSH, SNMP, NTP и т.д.;

  • пропускная способность межсетевых экранов не мене 5 Gb/s, для крупных складов не менее 10 Gb/s;

  • пропускная способность VPN не менее 500 Mb/s;

  • «прозрачность» лицензирования – желательно отсутствие дополнительных лицензий и подписок;

То есть, по сути, никаких сверх условий не выдвигалось. Несмотря на масштабность, задача сводилась, по большому счету, к обеспечению защищённой связи точка-точка и удалённому доступу к некоторым внутренним сервисам компании.

3. Подбор решения

Из трудностей. Имела место ситуация с тем, что портировать конфигурацию напрямую и автоматически с FortiGate’ов не представлялось возможным. Некоторые российские вендоры предоставляют утилиты для миграции с зарубежных устройств, хотя назвать их полноценными пока можно с трудом. Что касаемо миграции конкретно с FortiGate, то в поле зрения только один вендор - Код безопасности, с их инструментами конвертации.

Переходя к выбору решений, что было отсечено и по каким причинам:

  • отсутствие необходимости в сертификатах ФСБ на шифрование, пожелание не зависеть от конкретного производителя и проприетарных VPN;

  • доступность такого количества устройств (ПАКов), чтобы избежать проблемы с поставкой;

  • с отсутствием автоматической миграции смирились, это условие тоже упразднено;

  • пришло понимание, что нет необходимости и большинстве L7 фильтраций ­ минус сильные стороны нескольких решений;

  • с отсутствием автоматической миграции и ssl vpn (в необходимом виде есть только у usergate) - смирились, эти условия тоже упразднены;

4. Предварительная оценка

Итак, в стремлении к эффективности, мы плавно перешли от полноценного NGFW к сервисному маршрутизатору, а это - S-Terra и Eltex из перечисленных выше..

Решения – и S-Terra, и Eltex - имеют Cisco-like (CLI) консоль, однако у S-Terra помимо собственного CLI доступна и консоль bash, что с одной стороны расширяет возможности настройки, но с другой добавляет путаницы и сложности администрирования.

Преимущества в сертификации не столь критична. А вот c лицензированием функционала есть различия: Eltex отдельно лицензирует модуль IDS/IPS и сервис BRAS который отвечает за идентификацию и фильтрацию трафика клиента.

У S-terra лицензируется L2 VPN. Модуль IDS (без IPS) считается отдельным продуктом и лицензируется отдельно, но его можно использовать совместно со шлюзом. Сервисов фильтрации и идентификации трафика пользователей у S-Terra нет

Немаловажной составляющей является документация, у Eltex спецификации оборудования, руководства и дополнительные материалы доступны для скачивания – что является плюсом при настройки подобного оборудования (например, в условиях отсутствия доступа к сети Интернет). S-Terra предоставляет портал документации, а вот спецификации устройств нужно искать или запрашивать.

По функционалу сравнивать можно долго, но отметим важные качества Eltex которых нет у S-Terra: OpenVPN, IKEv2, VRF, IPv6

Протестировать на стендах решили оба решения, но подробное описание этого процесса – тема уже отдельного кейса.

5. Выводы.

Приходится констатировать тот факт, что пока нет полноценной и всеобъемлющей замены устройств FortiGate, но из того, что есть у российских производителей, уже можно серьёзно выбирать. Этот год и ситуация в целом подгоняют индустрию, и в гонку включаются новые продукты, а "старикам" приходится расширять функционал и подстраиваться под рынок:

  • на горизонте продукты от Positive Technologies и Solar от Ростелеком;

  • серьёзные функциональные обновления S-Terra, Кода безопасности и остальных вендоров);

  • так же ждем 2025 год в плане указов российских регуляторов

Резюмируя, можно сказать, что все устройства хороши, выбирай функционал на вкус! И под конкретный кейс. Та аскеза, которая была внесена в проект, неустанно диктовала нам подход Огюста Родена в создании совершенства – отсекать всё лишнее! Мы отселки! Что немаловажно - без усечения требований заказчика. И, как показала практика, качественно получилось.

В качестве позитивной ноты, замечу, что еще два года назад никто и не подумал бы, что можно относительно безболезненно так импортозаместиться. Однако, есть реальные кейсы, которые показывают, что наш, Российский прогресс в сфере IT не стоит на месте, и в плане импортозамещения неразрешимых задач остаётся всё меньше и меньше.