Будущее инфраструктуры и экосистемы российского NGFW (от «железа» до аналитики) обсуждали на конференции NGFW-День, которая прошла на площадке «Кибердома». Без использования новейших программно-аппаратных комплексов NGFW (Next Generation Firewall, межсетевой экран нового поколения) сложно противостоять современным киберугрозам. Почти 80% всех попыток вторжений, вредоносных программ ищут бреши и уязвимости в приложениях. Обычные межсетевые экраны не справляются с подобными атаками. Один из базовых вопросов в сфере кибербезопасности – сроки появления отечественных процессоров. Эксперты утверждают, что впереди годы ожидания, но сидеть сложа руки не получится.
Темпы роста российского сегмента NGFW выше общемировых, отмечалось на конференции. Отказ западных компаний поставлять в нашу страну новые решения подстегнуло желание отечественных разработчиков действовать. Тем не менее в большей части продуктов NGFW используются зарубежные процессоры, что сопряжено с немалыми рисками, особенно на объектах критической информационной инфраструктуры.
Выпуск изделий NGFW на базе отечественных процессоров, например, «Байкал» или «Эльбрус», пока трудно решаемая задача. В России нет фабрик по производству высокопроизводительных серверных процессоров, а тайваньская компания TSMC прекратила выполнение контрактов с нашими разработчиками – МЦСТ и «Байкал Электроникс».
Замерли в точке ожидания
Несмотря на инициативы бизнеса, госструктур, объектов КИИ по переходу на российские аналоги в сфере NGFW, реализовать задуманное в короткие сроки едва ли удастся. По словам модератора разговора, заместителя генерального директора «Кибердома» Александры Шадюк, невозможно быстро догнать зарубежные компании, которые годами формировали критерии, создавали продукты, накапливали опыт, развивали экспертизу и сертификацию. Кроме того, без значительных усилий нельзя просто заменить импортный продукт российским в рамках существующей инфраструктуры бизнеса.
Основным критерием выбора продуктов NGFW для бизнеса принято считать производительность, которая зависит от возможностей аппаратной базы. Впрочем, мнения представителей вендоров различаются. Директор по работе с госсектором компании UserGate Сергея Петренко утверждает, что не менее важна стабильная эксплуатация и главное – доступность продуктов, в том числе на российском рынке. Сейчас компании особенно ценят такую возможность.
Заместитель генерального директора компании «ИнфоТеКС» Дмитрий Гусев предложил шире посмотреть на ситуацию, не ограничиваясь разговором о доступности сверхпроизводительных устройств и топовых процессоров. В России много информационных систем и заказчиков, которым для решения их актуальных задач достаточно возможностей российских изделий. Причем таких клиентов большинство. Как показывает практика, основным спросом пользуются устройства среднего диапазона (как по цене, так и по производительности). Скорости в десятки или сотни гигабит – это уровень крупных заказчиков, в частности, операторов связи, дата-центров, обслуживающих высокоскоростные площадки. Для основной массы заказчиков подходят аппаратные платформы, построенные на отечественной процессорной базе.
Впрочем, в нашей стране всего несколько производителей. К тому же сохраняется проблема доступности процессоров, невозможности их серийного производства. При этом разработчикам требуются поставки соответствующей элементной базы в объеме десятков тысяч штук. Таких гарантий ни один российский вендор дать не может.
Ожидается, что до конца года новые партии процессоров будут доступны на российском рынке, и тогда можно будет вернуться к производству устройств нижнего и среднего уровня производительности на базе отечественных процессоров.
Экосистема разработки ПО
Еще на один аспект – развитие экосистемы разработки софта для отечественных процессоров – обратил внимание заместитель генерального директора по стратегическому планированию компании «Код безопасности» Кирилл Чистяков. В частности, в партнерстве с коллегами из МЦСТ ведется работа по портированию программных решений на «Эльбрусы». Компания также ждет промышленные партии процессоров.
У компании «Аквариус» есть разработки на базе процессоров отечественного производства, в частности «Эльбрусов», сообщил директор департамента информационной безопасности «Аквариуса» Константин Закатов. Но пока ситуация поставлена на паузу в ожидании «роста» экосистемы и готовности клиентов использовать такие решения.
Участники разговора обращали внимание на то, что полностью заместить электронную компонентную базу отечественной не может даже такая страна, как США. По словам представителя «Аквариуса», по мере повышения процента отечественной компонентной базы в аппаратных платформах важно помогать заказчикам адаптироваться к переходу. Но некоторые компоненты все же останутся иностранными («весь мир так живет»).
Вчера одна архитектура, завтра – другая
«Если мы рассчитываем на гарантии информационной безопасности, нужно использовать собственные процессоры», – подключился к разговору заместитель директора по развитию АО МЦСТ Константин Трушкин. По его мнению, переход на российские изделия не может быть плавным (вчера была архитектура «Интел», сегодня – другая). Конечно, придется преодолеть барьеры: потрудиться перенести и, возможно, оптимизировать софт под другую архитектуру.
В санкционных условиях эта трудоемкая задача усложняется: обеспечить стабильные поставки процессоров, как это было до 2022 г., сложно. Идеальная ситуация – наличие фабрики по производству российских процессоров. Для выпуска изделий нужной производительности (10–25 гигабит) существующие в РФ мощности не подходят. Требуется запуск технологии минимум 28 нм. Минпромторг ранее анонсировал планы строительства соответствующих фабрик ориентировочно в 2028 г. Но на этих производствах мы не сможем производить процессоры типа «Интел» («никто не даст такого права»). «Один из вариантов – «Эльбрус», который позволяет за счет своей параллельной архитектуры вытягивать очень большую производительность с единицы площади кремния», – пояснил представитель МЦСТ.
Но даже при наличии фабрики ввод ее в строй – непростая задача. Для отладки технологического процесса нужен партнер, который хорошо знает схемотехнику «того, что передает в производство». Если в ближайшие пять лет будет построена фабрика, то еще, по оценкам эксперта, года три потребуется для наладки бесперебойной поставки процессоров. Таким образом, получить необходимую продукцию можно будет лет через восемь.
В настоящее время продолжается работа по восстановлению поставок процессоров из-за рубежа (откуда именно, не уточняется, что объясняется санкционным режимом). По словам представителя МЦСТ, специалисты рассчитывают, что уже в следующем году будут значимые поставки процессоров серверного класса.
Сейчас это 8–16-ядерные процессоры с частотой до 2 ГГц. Планируется обеспечить схожие характеристики предстоящих серийных партий. Сегодня еще есть запас 2-ядерных процессоров последнего поколения архитектуры «Эльбрус». В определенных сегментах рынка эти изделия позволяют решать нужные задачи.
Принуждение – не стимул
Особое внимание на сессии было уделено проблеме перехода от программного обеспечения, приспособленного для «Интел», на софт для «Эльбрусов» и «Байкалов». Адаптация ПО требует времени. Эксперты отметили, что если коллеги будут ждать, пока ситуация стабилизируется («до полного склада процессоров»), и только затем начнут переносить софт, приступят к сертификации, то к упомянутым выше восьми годам придется добавить еще год-два.
Оптимальный вариант – кооперироваться и опережающими темпами изучать российские архитектуры, чтобы не терять время и не оказаться в еще одной невыигрышной ситуации.
Кроме того, по словам Константина Трушкина, важны стимулирующие меры государства по переходу на российскую продукцию. У поставщиков должны быть гарантии, что устройства на базе отечественных процессоров будут продаваться в приоритетном порядке («лучше изделий на зарубежных процессорах») и проблем со сбытом не возникнет.
С такой точкой зрения не согласился заместитель генерального директора «ИнфоТеКС» Дмитрий Гусев. Некоторое время назад, когда можно было выбирать процессоры, и «Эльбрусы» были доступны, в компании заинтересовались изделием. Однако возникли трудности, связанные с переписыванием ПО под его уникальную архитектуру.
При переносе софта простым способом дают знать о себе проблемы с производительностью, есть опасения, что заказчик не получит заявленные возможности. Когда выяснилось, что код надо переписывать, не нашлось специалистов, причем вовлеченных, глубоко понимающих архитектуру этих процессоров. Лет шесть назад в эту проблему уперлись, как в стену.
Идею заставить заказчика с помощью регуляторов покупать оборудование на процессорах «Эльбрус» Дмитрий Гусев назвал прямолинейной, банальной и неправильной. Взамен он предложил подумать над тем, как помочь компании МЦСТ выстроить экспертную экосистему вокруг процессоров «Эльбрус», как обеспечить соответствующую материальную базу вузам, отвечающим за подготовку программистов. И тогда лет через шесть-семь, а возможно, и раньше, когда начнется массовый выпуск российских процессоров, не придется искать нужных специалистов днем с огнем, переманивать их у конкурентов на невыгодных условиях и т. п.
Вместо заключения
Открытое обсуждение проблем, на которых заострили внимание участники разговора, – шаг на пути поиска адекватных решений. Как заметила модератор сессии Александра Шадюк, для компаний, планирующих импортозамещение NGFW, важно понять, что этот процесс не безболезненный. Переход на отечественные решения требует пересмотра логики и топологии инфраструктуры, адаптации программного обеспечения, которое изначально разрабатывалось под иностранные процессоры. Но те, кто начинает работать над этим сейчас, как минимум окажутся на шаг впереди в вопросах защищенности.
Технологические вызовы и запросы заказчиков определяют пути формирования экосистемы решений сетевой безопасности. А искусство поиска выхода из текущей ситуации состоит в том, чтобы консолидировать усилия и находить решения, которые не потребуют больших компромиссов от каждой из заинтересованных сторон.
