Компания International Data Corporation (IDC) оценила расстановку сил на рынке устройств обеспечения безопасности (Security Appliance) в регионе EMEA, в который входят Европа, включая Россию, Ближний Восток и Африка. Во втором квартале текущего года продажи здесь достигли $4,96 млрд, поднявшись на 5,7 %, или $269 млн, по сравнению со второй четвертью 2021-го.

Системы защиты от сетевых угроз UTM (Unified Threat Management) и брандмауэры сообща показали рост продаж на уровне 7,2 %. В других категориях, включая средства обнаружения и предотвращения вторжений, VPN и системы управления контентом, также зафиксирована положительная динамика.

Источник изображения: IDC

Если рассматривать EMEA-рынок устройств обеспечения безопасности в штучном выражении, то квартальные поставки поднялись на 7,2 %, превысив 1,3 млн единиц.

«Подписные сервисы обеспечения безопасности, развёрнутые на аппаратных платформах, играют ключевую роль в повышении значимости этих платформ в рамках гибридных стратегий по защите ИКТ-инфраструктур», — отмечает IDC.

Рейтинг крупнейших игроков возглавляет Palo Alto Networks с $968,1 млн квартальной выручки и долей в 19,5 %. Годом ранее эта компания занимала 18,7 % указанного рынка. На втором месте располагается Cisco с $875,6 млн и 17,7 % (16,0 % год назад), на третьем — Fortinet с $827,2 млн и 16,7 % (14,2 % во второй четверти 2021 года). В пятёрку также вошли Check Point и SonicWALL с выручкой в размере соответственно $423,2 млн и $181,3 млн. Доли этих компаний составили 8,5 % и 3,7 % против 9,1 % и 3,7 % годом ранее.

Источник изображения: IDC

Пропускная способность современных сетей растёт ударными темпами — скорости в районе 400 Гбит/с на порт уже становятся обыденностью. Соответственно растут и требования к системам, обеспечивающим сетевую безопасность. Компания Fortinet представила новую серию межсетевых экранов FortiGate 4800F, способную предложить скорость обработки трафика до 2,4 Тбит/с, которая требуется 5G-операторам, дата-центрам гиперскейлеров и другим крупным заказчикам.

Источник: Fortinet

Речь, конечно, идёт о «чистой» пропускной способности, и по ряду показателей, если верить производителю, новые устройства не имеют себе равных в индустрии. В более практических цифрах это выражается в 55 Гбит/с в режиме инспекции SSL (TLS 1.3) и до 70 Гбит/с в режиме защиты (до 75 Гбит/с NGFW). Заявленная скорость работы с VPN составляет до 800 Гбит/с. Для достижения таких показателей используется сразу 16 фирменных ASIC NP7.

Чип Fortinet NP7: один из самых производительных в индустрии. Источник: Fortinet

Новые модели экранов, 4800F и 4801F, оснащены широкими возможностями подключения и могут предоставить 8 портов 400GbE (QSFP-DD), 12 портов 200GbE (QSFP56/28), 12 портов 50GbE (SFP56/28), а также два порта управления 10GbE (RJ-45). Надежность по питанию гарантируют сразу четыре блока с резервированием и функцией горячей замены. Впрочем, в 4U-шасси для них места хватает.

FortiGate 4800F в сравнении с соперниками. Источник: Fortinet

Со всем этим поможет справиться фирменная служба FortiGuard с элементами машинного обучения, способная обнаруживать угрозы «нулевого дня» и распознавать неизвестные потенциальные угрозы до того, как они смогут нанести вред. Кроме того, новинка может обслуживать сразу несколько различных сегментов, если для одного из них её возможности окажутся слишком велики.

Компания InfoWatch сообщила о выпуске новой версии программного комплекса ARMA Industrial Firewall 3.7.

InfoWatch ARMA Industrial Firewall представляет собой межсетевой экран нового поколения (NGFW). Решение позволяет обнаруживать и блокировать атаки злоумышленников на автоматизированные системы управления технологическими процессами (АСУ ТП), а также попытки эксплуатации уязвимостей в промышленной среде. Помимо функций межсетевого экранирования, продукт обладает встроенной системой обнаружения вторжений с базой решающих правил СОВ для АСУ ТП и VPN. Также комплекс позволяет реализовать меры защиты значимых объектов критической информационной инфраструктуры (КИИ) согласно требованиям приказов ФСТЭК России.

Источник изображения: infowatch.ru/products/arma

Ключевой особенностью InfoWatch ARMA Industrial Firewall версии 3.7 стала поддержка OpenVPN-ГОСТ, что позволяет организациям использовать шифрование каналов связи на базе сертифицированных ФСБ России средств криптографической защиты информации. Также в продукт добавлена поддержка промышленного протокола KRUG, используемого в контроллерах и SCADA-системах производства научно-производственной фирмы «Круг». Отдельное внимание было уделено расширению функциональных возможностей инструментов для работы с журналами логов.

InfoWatch ARMA Industrial Firewall включён в реестр российского программного обеспечения и рекомендован для закупки госучреждениями.

Компания «Айдеко» сообщила о доступности нового шлюза безопасности Ideco UTM 12.0. Данная версия, как отмечается, основана на новейшей программной платформе, поддерживающей самые передовые технологии ядра Linux (версия 5.15) и используемых модулей: баз данных, IPS, сетевого стека и веб-интерфейса.

Изображение: Ideco

Среди обновлений, в частности, отмечается наличие веб-интерфейса для доступа к настройкам антиспама «Касперского», возможность отката на прошлую версию после обновления, поддержку авторизации устройств по MAC-адресам (в том числе с поддержкой связки IP+MAC) и возможность доступа до определённых внешних ресурсов без авторизации.

Также добавлены динамическая маршрутизация OSPF (в будущем обещана поддержка BGP), фильтрация баннерной рекламы на уровне DNS, раздача маршрутов при подключении по VPN (за исключением Ideco VPN-агента), обновлённая версия модуля «Контроль приложений». Следующая версия Ideco UTM 13, релиз которой ожидается в мае, получит новые инструменты отчётности по предотвращению вторжений, а также по веб-трафику и трафику приложений (с конструктором отчётов).

«Отечественные решения, к сожалению, всё ещё отстают от решений лидеров NGFW-рынка. Сейчас, как никогда, важно не само решение взятое "в моменте", а темпы развития решения. Мы стремимся сделать максимально удобный для конечных пользователей продукт и поддерживать самый высокий темп развития в отрасли», — говорится в сообщении компании.

Известный разработчик решений в области информационной безопасности, компания Check Point Software, на днях представил новую серию устройств Quantum Lightspeed, которые, по словам создателей, установили новый стандарт производительности для брандмауэров.

Благодаря использованию контроллеров ConnectX от NVIDIA/Mellanox в серии Quantum Lightspeed удалось добиться обработки трафика на скорости до 3 Тбит/с и при задержке, не превышающей 3 мкс. Впрочем, в задачах NGFW или IPS показатели производительности новинок ожидаемо значительно скромнее.

Изображения: Check Point Software

Новые решения Quantum Lightspeed представляют наибольший интерес для крупных предприятий, дата-центров, ритейла, финансовых организаций и прочих компаний, которым требуется и высокая пропускная способность, и низкая задержка. Сейчас в серии Quantum Lightspeed есть четыре базовые модели (число в названии указывает на пропускную способность в Гбит/с):

• Quantum Lightspeed QLS250;
• Quantum Lightspeed QLS450;
• Quantum Lightspeed QLS650;
• Quantum Lightspeed QLS800.

Также в серию входят два оркестратора Maestro Lightspeed MLS200 и MLS400, предназначенных специально для построения масштабируемых комплексов. Блоки MLS, выступающие в качестве «сердца» такой системы и работающие в том числе в режиме Active-Active, могут быть дополнены модулями расширения, что и даёт суммарную пропускную способность до 3 Тбит/с.

Подобные показатели, как уже отмечалось, во многом достигнуты благодаря использованию возможностей ConnectX. В схеме, реализованной Check Point, лишь первый пакет в каждом соединении проверяется силами CPU на соответствие политикам безопасности (в докладе говорится о связке IP-адрес+порт). Если проверка пройдена, то далее обработка трафика в обоих направлениях до закрытия соединения или сессии ложится на плечи ConneсtX. Идея, в целом, не нова.

Кроме того, шлюз занимается SPI, поддерживает NAT и может обрабатывать трафик VXLAN/GRE. Компания отдельно отмечает, что новинки хорошо подходят и для нагрузок с длительной передачей большого объёма трафика в рамках одной сессии, становящихся всё более актуальными. Впрочем, нельзя не отметить, что NVIDIA сотрудничает и с другими игроками в этой области, например, Palo Alto Networks.

Состоялся релиз firewalld 1.0 — динамически управляемого межсетевого экрана для Linux-систем. Он доступен в RHEL 7, Fedora 18, SUSE/openSUSE 15 и более новых версиях. Проект разрабатывает Red Hat, при этом первая версия вышла более 10 лет назад. Но лишь теперь проект добрался до релиза 1.0. Система написана на Python, при этом в ней отказались, наконец, от поддержки Python 2.

Другие изменения включают в себя перемещение правил NAT в семейство протоколов iNet, что позволило избавиться от дубликатов. Также поддерживается внутризонная пересылка данных по умолчанию. Это позволяет передавать пакеты без ограничений между сетевыми интерфейсами в рамках одной зоны (public, block, trusted, internal и так далее). Поддержка ipables пока что сохранена, но развивать её не планируется. Убрана возможность отслеживания TFTP-подключений, зато упростилась работа с WireGuard, Kubernetes и NetBIOS.

В целом, для конечных пользователей поведение firewalld со стандартной конфигурацией межсетевого экрана стало более предсказуемым, а число возможных проблем с настройками снизилось. Также отметим, что число зависимостей уменьшилось: для работы нужно только ядро Linux и некоторые python-библиотеки. Остальные пакеты стали опциональными. Исходный код доступен на GitHub.

Предварительный выпуск Azure Firewall Premium был анонсирован ещё в апреле, теперь же брандмауэр стал общедоступным. Он обеспечивает защиту высокочувствительных и регулируемых сред, таких как платежные системы и приложения здравоохранения, при миграции в облако.

Пользователи брандмауэра Azure Premium получают более мощные инстансы, позволяющие удовлетворить требования к производительности при использовании TLS, а также системы обнаружения и предотвращения вторжений (IDPS). Защищённость среды при этом соответствует стандарту безопасности данных в индустрии платежных карт (PCI DSS), а возможности масштабирования до 30 Гбит/с и интеграции с регионами доступа обеспечивают SLA на уровне 99,99%.

microsoft.com

Проверка исходящих TLS-подключений в брандмауэре Azure Premium охватывает транспортный уровень, а для входящих подключений предусмотрено использование шлюза приложений Azure, обеспечивающего сквозное шифрование. Трафик, который отправляется в исходное место назначения, шифруется повторно для дополнительной безопасности.

Система IDPS брандмауэра использует сигнатуры, позволяющие быстро обнаруживать известные типы атак. Брандмауэр Azure Premium способен предотвращать распространение вредоносных программ и вирусов по сетям. Администраторы могут настроить фильтрацию URL-адресов, включая исходящий доступ к определённым адресам. Эта возможность работает и для зашифрованного трафика TLS.

Также имеется возможность фильтрации исходящего трафика и настройка доступа пользователей к Интернету на основе категорий (например, социальные сети, поисковые системы, азартные игры), что позволяет сократить время настройки. А для упрощения используются политики брандмауэра Azure. Такой подход позволяет повторно использовать существующую интеграцию API с минимальными изменениями.

Политики Azure Premium предоставляют такие преимущества, как совместное использование общей конфигурации для нескольких брандмауэров, объединение правил с использованием групп и управление правилами с помощью аналитики. Стоимость развёртывания премиального брандмауэра на 40% выше, чем у стандартной версии, но плата за обработку данных остаётся такой же.

Palo Alto Networks совместно с NVIDIA разработали первый, по словам компаний, виртуальный межсетевой экран нового поколения (NGFW), который активно использует возможности BlueField — сопроцессора для обработки данных (DPU). Он ускоряет фильтрацию пакетов и пересылку данных, снимая нагрузку с центрального процессора.

Это позволяет повысить скорость обработки до 5 раз, а также задействовать интеллектуальную фильтрацию и другие функции работы с трафиком. В целом, такое программно-аппаратное решение позволит существенно увеличить безопасность центров обработки данных и корпоративных сетей. Как отмечается, система поддерживает пропускную способность до 100 Гбит/с.

Разработчики утверждают, что подобная система — первая на рынке. Она способна обнаруживать новые угрозы в сети, предотвращать кражу данных, отслеживать вредоносное ПО и так далее. При этом отмечается, что в обычных случаях до 80 % сетевого трафика в ЦОД проверяется брандмауэрами в принципе. Речь идёт о мультимедийных данных (потоковые видео, музыка и прочее), зашифрованных сессиях и так далее. Их проверка зачастую просто перегрузит CPU брандмауэров, потому они обычно избегают дополнительной инспекции.

Чтобы решить эту проблему, решение NVIDIA и Palo Alto Networks задействует службу Intelligent Traffic Offload (ITO), которая проверяет сетевой трафик, чтобы определить, выиграет ли каждый сеанс от проверки безопасности. Иначе говоря, ITO анализирует потенциальную нагрузку на DPU, чтобы понять, нужно ли проверять пакеты или нет. Это позволяет перенаправлять пакеты через межсетевой экран или напрямую потребителям.

Компания Cloudflare представила сервисы Magic WAN и Magic Firewall, а также объявила о партнёрских отношениях с крупными провайдерами решений для сетей и ЦОД, включая VMware, Aruba, Digital Realty, CoreSite и EdgeConneX, в рамках Cloudflare One, её облачного решения, предлагаемого по модели «сеть как услуга» (network-as-a-service).

Magic WAN с Magic Firewall предоставляет клиентам универсальное решение для подключения и защиты данных, устройств, офисов, облачных сетей и т. д. Magic WAN — это решение, предлагаемое по модели SaaS, которое соединяет любой источник трафика с глобальной сетью Cloudflare для безопасного и быстрого подключения, а Magic Firewall интегрируется с ним для обеспечения соблюдения норм безопасности для всего трафика. С помощью Magic WAN и Magic Firewall предприятия также могут ускорить работу своей сети и обеспечить более высокую безопасность, причём намного дешевле, чем при использовании MPLS.

«Компании тратят значительные ресурсы на предоставление и поддержку устаревших технологий подключения, таких как MPLS, — отметил Мэтью Принс (Matthew Prince), соучредитель и генеральный директор Cloudflare. — В Magic WAN мы используем глобальную сеть Cloudflare, чтобы предлагать надёжные, быстрые и гораздо более рентабельные возможность подключения со встроенной системой безопасности. Сотрудничая с ведущими поставщиками SD-WAN, мы можем гарантировать, что Magic WAN станет незаменимой заменой прежним решениям для подключения».

Являясь частью пакета Cloudflare One, Magic WAN надёжно подключает любой источник трафика — ЦОД, офисы, устройства, облачные ресурсы — к глобальной сети Cloudflare и позволяет клиентам настраивать общедоступные и частные политики маршрутизации, всё в рамках одного SaaS-решения. А Magic Firewall позволяет предприятиям определять правила безопасности для сети с единой центральной панели управления, чтобы обеспечить защиту сотрудников, офисов и данных, где бы они ни находились. Cloudflare обеспечивает клиентам возможность:

• Подключить каждый офис, ЦОД и облачное хранилище: Magic WAN заменяет разрозненные решения для подключения и обеспечения безопасности в офисах и удалённых местах единой облачной сетью.
• Защитить весь трафик с помощью одного простого пользовательского интерфейса: Magic Firewall позволяет клиентам централизованно управлять политиками безопасности по всей сети и на периферии. Magic Firewall обеспечивает точный контроль над тем, какие данные разрешено вводить и выводить из сети.
• Защитить корпоративные сети без ущерба для производительности: Cloudflare действует как концентратор, которым выступает глобальная сеть компании. Поэтому компания гарантирует, что больше не будет транзитного соединения с централизованными устройствами и связанных с ними узких мест в производительности.
• Использовать любое оборудование или оператора связи: клиенты могут использовать любое оборудование любых партнёров для подключения к Cloudflare и получить преимущества отказоустойчивости, предоставляемые её глобальной сетью.

На этой неделе состоялась два крупных анонса для дистрибутива pfSense. Во-первых, система получила поддержку WireGuard VPN. Во-вторых, Netgate, компания, разрабатывающая pfSense, представила pfSense Plus. Поговорим об этом подробнее.

Расширение поддержки WireGuard означает, что всё больше ОС получают возможность работать с ним. Этот протокол уже есть во многих дистрибутивах Linux, а также в Windows. Разработчики из Netgate внедрили её в pfSense 2.5. При этом поддержка работает как в варианте pfSense Community Edition, так и в новом pfSense Plus.

Новый «Плюс» представляет собой своего рода ребрендинг pfSense Factory Edition (FE). Это напоминает ситуацию с переходом от FreeNAS к TrueNAS Core. Разработка pfSense CE (Community Edition) будет продолжаться, но для pfSense Plus будут выходить все самые новые «фишки». Напомним, что pfSense обеспечивает функциональность межсетевого экрана, маршрутизатора и VPN для дома, предприятий, образовательных и государственных учреждений.

С 2021 года pfSense CE и pfSense Plus начнут расходиться друг с другом как в дизайне программной платформы, так и в наборе функций. Первая версия будет работать, как и ранее. Вторая же станет стандартом де-факто для всех устройств Netgate. pfSense Plus получит постоянно обновляемый набор функций безопасности, улучшения производительности и управляемости, которых нет в pfSense CE. Хотя в начале они будут достаточно близки, со временем ожидается, что функциональность обеих версий всё сильнее будет отличаться.

В компании заявили, что появление Plus-версии необходимо для поддержки продукта в актуальном состоянии. Многие функции старой версии, разработка которой началась ещё в 2004 году, нуждаются в замене или обновлении, что может нарушить работу кода. В числе новых функций обещана поддержка точек доступа 802.11ac и 802.11ax, другая информационная панель и дизайн системы в целом, улучшенная производительность фильтра пакетов.

Первая версия pfSense появится в феврале 2021 года. Сборка получит наименована Release 21.02, так что будет задействована система нумерации «год.месяц». Что касается pfSense CE, то сборка останется на GitHub под лицензией Apache. Netgate продолжит её сопровождение, предоставляя обновления — в первую очердь, патчи против уязвимостей и апдейты для FreeBSD. А вот о внедрении новых функциях пока не сообщается.

Как отмечается, выпуски pfSense Plus будут выходить более регулярно — в январе, мае и сентябре. При этом пока есть только версии для устройств Netgate и облачных платформ AWS и Azure. В будущем ожидается расширение аппаратного парка и поддержка ряда гипервизоров. pfSense Plus 21.02 будет бесплатной для домашнего и лабораторного использования, но для коммерческого использования нужна будет платная лицензия.

При этом отмечено, что Netgate продолжает придерживаться принципов работы open source, так что не стоит бояться, что система может стать закрытой. В частности, компания продолжит спонсировать разработку новых возможностей, которые в итоге попадают во FreeBSD. Именно при её непосредственном участии появилась поддержка WireGuard, ускорение криптографических функций за счёт использования Intel QAT и EIP-97, некоторые драйверы и так далее. Кроме того, в штате компании или по контракту с ней работают разработчики FreeBSD и других открытых проектов.