На ТБ Форум 2026 компания Ideco представила реальные показатели инженерной зрелости своего NGFW-решения: масштаб автотестирования, глубину анализа кода и архитектурные принципы, обеспечивающие устойчивость системы. Доклад был посвящен не функциям продукта, а измеримой модели разработки и контроля безопасности на всем жизненном цикле.
Сегодня инфраструктура автотестирования NGFW включает 300 виртуальных машин и 45 параллельных потоков, что позволяет выполнять полный цикл прогона за
Инженерная модель безопасности закреплена в 25 формализованных процессах разработки безопасного ПО, охватывающих весь жизненный цикл NGFW — от архитектуры и моделирования угроз до вывода из эксплуатации. Компания проходит внутренние и внешние аудиты, соответствует требованиям ГОСТ и не зависит от сторонних поставщиков ПО: базовая операционная система обновляется вместе с каждым релизом, что снижает риск накопления уязвимостей.
Контроль качества кода реализован через многоуровневый анализ. В рамках статической проверки обработано 1062 предупреждения в 40 проектах, при этом подтвержденные уязвимости уровней Critical и Major блокируют выпуск релиза до полного устранения. Динамический анализ и фаззинг проводятся с опорой на модель угроз: каждый модуль тестируется не менее 50 часов, а ядро системы — около 350 часов. Такой подход минимизирует вероятность скрытых дефектов в ключевых компонентах.
Дополнительная проверка проводится на базе National Vulnerability Database (NVD), содержащей 980 831 запись. Часть выявленных CVE классифицирована как Mitigated (3) или NotAffected (24), что означает отсутствие реальной угрозы в контексте эксплуатации NGFW. Сравнение версий демонстрирует положительную динамику: если в версии 19.17 было зафиксировано 13 критических CVE, то в версии 21.12 — 9, что соответствует снижению на 30%. Уязвимостей уровня HIGH, MEDIUM и LOW в обеих версиях выявлено не было.
Архитектурная устойчивость NGFW-решения строится на принципе строгого разделения Control Plane и Data Plane. Управляющий и пользовательский трафик изолированы через контейнерную модель с раздельными ресурсами, что позволяет сохранять контроль над устройством даже при атаке на Data Plane. Виртуальные контексты VCE обеспечивают разделение зон безопасности внутри одного устройства с привязкой к аппаратным ресурсам. В 2026 году весь трафик обрабатывается исключительно внутри VCE с применением механизмов hardening служб.
Файловая система реализована на связке EROFS, OverlayFS и LVM. Общий read-only образ и изолированные OverlayFS для каждого VCE обеспечивают безопасные обновления и быстрые откаты без риска потери данных.
Отдельное внимание уделяется защите собственной инфраструктуры. Для всех внутренних сервисов, которых насчитывается около 300, применяется SSO и двухфакторная аутентификация. API-доступ предоставляется исключительно через отзываемые токены без использования логина и пароля. Безопасность контролируется ежедневным сканированием с использованием SIEM, а устранение критических уязвимостей во внутренних сервисах осуществляется в режиме круглосуточного SLA.
«Новый инженерный подход разработки NGFW — это формализованные процессы, архитектурные принципы и строгий контроль. Поэтому российским Enterpriser компаниям важно учитывать, что реальные инциденты возникают в первую очередь из-за архитектурных и процессных решений. При этом устойчивость межсетевых экранов следующего поколения определяется дисциплиной разработки и эксплуатации. Таким образом представленный новый подход демонстрирует переход от точечных мер защиты к комплексной инженерной модели, в которой безопасность встроена в архитектуру, процессы разработки и операционную инфраструктуру продукта», — комментирует Марк Коренберг, технический директор Ideco.
Источник: агентстве Redline PR
