Сетевая безопасность от билайн и Sangfor из облака

Аналитики отмечают существенный рост доли китайских решений сетевой безопасности на российском рынке в 2023 году. Эти продукты демонстрируют хорошие характеристики и на данный момент успешно конкурируют с отечественными продуктами и Open Source в некоторых сегментах ИБ. Более того, китайские вендоры вступают в кооперацию с российскими облачными провайдерами. Один из ярких примеров этому – недавно запущенное совместное решение beeline cloud и Sangfor.

История Sangfor

Sangfor – китайский вендор средств информационной безопасности и инфраструктурных решений, образованный в 2000 году. Штаб-квартира компании находится в городе Шэньчжэнь. На российском рынке в феврале-марте прошлого года Sangfor появился сначала как дистрибьютор, а в июле открыл представительство в Москве, где сегодня работают не только менеджеры по продажам, но и технические специалисты разработчика, обеспечивающие русскоязычную техподдержку. Партнером Sangfor по продвижению продуктов в России является DataFort – провайдер облачных сервисов, с конца 2021 года принадлежащий ПАО «ВымпелКом» и входящий в структуру beeline cloud.

До 2017 года Sangfor развивался только в Китае, далее началась активная глобальная экспансия. Так, в 2022 году, помимо России, компания открыла представительства в Турции и Тунисе. Всего у нее сегодня около 60 офисов по всему миру. Количество сотрудников – около 10 тысяч, из них 40% – подразделение RnD.

Оборот компании в 2021 году составил почти 1 млрд долларов. На китайском рынке почти все продукты Sangfor входят в топ-3 лидеров по продажам. По объему бизнеса в регионах – около 80% всё еще приходится на Китай, 15% – на страны EMEA, 5% – на Юго-Восточную Азию. В России у Sangfor уже также есть продажи: некоторые заказчики используют решения On Premise напрямую от вендора, но около половины – пользователи SaaS, который предоставляет DataFort.

Продукты Sangfor входят в аналитические отчеты Gartner, постепенно двигаясь от квадранта нишевых игроков к визионерам и лидерам. Аналитическая компания Cyber Ratings, проводящая реальные тестирования продуктов, ставит Sangfor NGFW на высшие позиции рейтинга по параметрам эффективности обнаружения угроз и стоимости TCO в пересчете на защищаемый Мбит/с.

Экосистема продуктов безопасности Sangfor

Комплекс продуктов безопасности Sangfor, действующих в синергии, предоставляется в концепции XDDR: Extended Detection, Defense and Response. Она подразумевает построение безопасной инфраструктуры на базе продуктов Sangfor, а также продуктов сторонних разработчиков, которые интегрируются в платформу вендора. За счет этого клиент получает дополнительные функциональные возможности платформы, которые были бы невозможны без подобной интеграции.

Продукты, входящие в экосистему Sangfor, подразделяются на две большие группы: средства защиты и инфраструктурные решения.

К средствам защиты (Sangfor Security) относятся связанные между собой продукты сетевой безопасности, облачные решения, сервисы и инструменты защиты конечных точек (Endpoint). Среди них стоит выделить несколько наиболее интересных для российских заказчиков.

Internet Access Gateway – веб-прокси, способный во многом заменить Blue Coat, McAfee Web Gateway, Cisco Web Security Appliance и другие подобные продукты. «Прокси приносит компании 20% всего оборота, продукт действительно классный, им пользуются во всем мире, и, в частности, в России. При этом чем больше им пользуются, тем лучше он становится с точки зрения фильтрации российских ресурсов, понимания кириллицы и т. д.», – замечает Сергей Ласкин.

NGAF – классический файрвол (NGFW) от Sangfor, имеющий ряд дополнительных полезных особенностей. Во-первых, прямо «на борту» продукта имеется WAF, рассчитанный на средний уровень нагрузки.

Во-вторых, здесь присутствует Vulnerability Scanner – сканер уязвимостей, который позволяет делать активное и пассивное сканирование защищаемых ассетов (активов) и выдавать отчеты по итогам проверок. По результатам сканирования компания может сделать виртуальный патчинг обнаруженной уязвимости и таким образом защитить систему с помощью правила межсетевого экранирования, пока эта уязвимость не будет устранена. Vulnerability Scanner включен в лицензию на NGAF, и стоит в этой связке гораздо меньше полноценного сканера. Единственный нюанс – этот сканер не сертифицирован российским ФСТЭК. (Сам NGFW планируется сертифицировать во ФСТЭК по 6 классу защиты информации.)

В-третьих, фаервол от Sangfor оснащен оптимизатором политик. Это отличный инструмент для заказчиков, у которых сотни и тысячи правил безопасности. Оптимизатор, например, «подсвечивает» фрагменты вновь созданной политики безопасности, которые в системе уже есть, и предлагает оптимизировать их. Очевидно, что чем меньшим количеством политик оперирует NGFW, тем быстрее он будет работать.

SD-WAN у Sangfor существует как отдельный продукт, но также присутствует на фаерволе, и в этом виде он не лицензируется отдельно.

Решение класса NDR (Network Detection and Response) от Sangfor называется Cyber Command. Оно анализирует весь трафик компании, может выдавать отчет, если находятся какие-то аномалии или угрозы, а также автоматически делать обратную связь – например, послать команду о блокировке на файрвол.

Собственный антивирусный движок Sangfor – Engine Zero – построен на базе двухуровневой нейросети. Именно он отвечает за хорошие показатели быстродействия и качества обнаружения угроз антивирусами.

Neural-X – это облако Sangfor, содержащее, в том числе, все обновления сигнатур, репутационные базы и т. д. На этом же облаке находится «песочница», в которую клиенты могут отправлять подозрительные файлы на анализ. Физически облако находится в Китае, но локальный офис компании ведет переговоры с руководством о том, чтобы «приземлить» облако в России.

Инфраструктурные продукты (Sangfor Infrastructure) – вторая большая группа. Из потенциально интересных российским заказчикам продуктов, входящих в нее, можно выделить полноценный VDI и гиперконвергентную платформу (HCI), аналог VMware или Nutanix. Таким образом, на базе продуктов Sangfor клиент может построить инфраструктуру и комплексно защитить ее. Для менеджмента используется инструмент централизованного управления всеми продуктами безопасности.

Sangfor в облаке beeline cloud

beeline cloud – это российский облачный провайдер, предоставляющий услуги на базе семи собственных дата-центров уровня Tier III. Компания специализируется на облачных сервисах по схеме MSP/MSSP.

«В приоритете для beeline cloud – разработка новых продуктов и интеграционных решений на стыке облачных технологий, кибербезопасности, Big Data и Интернета вещей. Набор наших сервисов всеобъемлющий: это классические IaaS, PaaS, SaaS, отдельно – сервисы информационной безопасности, причем как ориентированные на российский рынок, связанные с 152-ФЗ, так и классические сервисы», – рассказывает Егор Бигун, руководитель по развитию сервисов ИБ в beeline cloud.

В марте-апреле 2022 года перед компанией встала задача срочно заменить, прежде всего, межсетевые экраны у клиентов. Подбирая доступные отечественные решения или продукты Open Source, компания столкнулась с определенными сложностями: они касаются, например, производительности отечественных продуктов ИБ. У многих из них отсутствовал отдельный VPN-клиент, который заказчики привыкли использовать в решениях западных вендоров. Некоторые российские решения, помимо прочего, оказались ориентированными на «бумажную» безопасность, а не на реальные кейсы.

Что касается Open Source, полноценных NGFW с открытым исходным кодом на рынке не оказалось. Кроме того, многие Enterprise-клиенты не готовы работать с Open Source по разным причинам, в том числе из-за отсутствия вендорской технической поддержки.

При выборе вендора ИБ из дружественной страны в beeline cloud руководствовались рядом критериев: это технологичность решения, «железное» и виртуальное исполнение, разумные требования к IaaS (чтобы стоимость IaaS не оказалась запредельной), наличие различных классов продуктов (тот самый экосистемный подход, единая идеология продуктов, к которой привыкли российские пользователи западных систем), широкий спектр сетевых возможностей и наличие агента для Remote Access VPN.

По результатам тестирования нескольких продуктов в компании выбрали Sangfor. Сегодня из облака beeline cloud доступны три продукта китайского вендора для защиты корпоративной сети: NGAF (Next-Generation Application Firewall), SSL VPN и IAG (Internet Access Gateway, веб-прокси).

Несмотря на то, что эти продукты обладают специфическими особенностями, в beeline cloud отмечают их сильные стороны и конкурентные преимущества. Например, межсетевой экран NGAF доступен в четырех комплектациях, каждая из которых максимально соответствует своему описанию в спецификации (что не всегда справедливо для конкурирующих продуктов). Лицензии на данный продукт предельно полные, и даже базовый набор Essential Bundle содержит подавляющее большинство необходимого клиентам функционала.

«Интересно что наши российские клиенты, заказывая продукты Sangfor, выбирают их уже в составе экосистемы: например, SSL VPN у них работает в паре с NGAF, либо используются сразу все три решения, представленные в облаке beeline cloud», – рассказывает Егор Бигун.

Продукты Sangfor в beeline cloud доступны в двух вариантах. В первом случае (обычный SaaS) клиент получает базовый преднастроенный продукт, который можно использовать по своему усмотрению, а провайдер отвечает за подготовку инфраструктуры, виртуализацию и лицензирование. В варианте «Sangfor как сервис» клиент получает любой из трех продуктов (IAG, NGAF, SSL VPN) как сервис, а за всю работу с ними отвечает провайдер.