Внедрение своего NGFW на собственной инфраструктуре: как мы ели кактус и что из этого получилось

[nolirpaf]

Ох уж этот специфический Radius и априори недостижимая цифра в 10Г. 

[Lazhu]

Прям вижу, как те, у кого стояли PA, ломанулись их срочно менять, угу

[Thomas_Hanniball]

для решения срочного вопроса проще дойти в коллегу ногами вместо того, чтобы заводить тикет в CRM.

Используете CRM в качестве тикетной системы или баг трекинга?

[sadvlad]

Мы же решили пойти по пути внешнего заказчика. Трекер не торчит наружу. Внешние запросы обрабатывает CRM.

[Mnemonic0]

ИБ-специалистам должно быть удобно работать с новым инструментом.

Не должно. Продукт должен обеспечивать нужный функционал, удобство это дополнительная плюшка. Удобство не должно быть решающим фактором между худшим и лучшим функционалом

Не стоит ориентироваться на абстрактные цифры по производительности из тендерных заданий

Стоит. Смысл смотреть продукт, который переваривает гигабит, если у тебя есть 10-40G? Последующее тестирование, да, нужно проверить заявленные характеристики, но зачастую нужно смотреть на колличество сессий, а не на скорость как таковую.

Даже при наличии типовых сценариев универсального NGFW нет и не может быть

Именно, что есть, просто для разных объёмов трафика берутся разные устройства и применяются разные политики. В вашем же случае - если есть между точками кластера 10-40G, берётся PA-5220(3420) поближе к ядру сети, ещё больше - 5420. Получаете унивесальный фаервол, но на периметре у вас стоят модели с меньшей пропускной способностью, внутри - потолще. И политики, снаружи - обспечивающие защиту и доступ, внутри - контроль.

рынок отечественных NGFW находится, по сути, на начальном этапе своей эволюции

Да, до тех десятилетий, ещё далеко. И пройти нужно много. В моём видении, сейчас рынок развивается не туда. По факту пишутся форки pfsense и пытаются выдать это за ngfw. Смотрел демки континента, позитивов, юзергейта... Позитив - ещё сырой. Юзергейт - pfsense с другим дизайном. Континент - пожалуй максимально близкий к конечному продукту, но прямо бесят разные меню в разных модулях, видно разные команды разный функционал пилят, а продакт дрянь.

[sadvlad]

Не должно. Продукт должен обеспечивать нужный функционал, удобство это дополнительная плюшка. Удобство не должно быть решающим фактором между худшим и лучшим функционалом

В идеальном мире да. Ох уж этот вечный спор между IT и ИБ.  Вы даже не представляете сколько заказчиков готовы отвернуться от качественного функционального продукта, если он неудобный. Особенно, если решение о внедрении принимает CISO, а не CIO.