На ТБ Форуме 2026 CTO компании Ideco Марк Коренберг представил доклад об инженерном подходе к безопасности межсетевых экранов нового поколения (NGFW). В основе выступления — конкретные цифры, архитектурные решения и практика разработки, которая позволяет Ideco выпускать продукт с измеримо снижающимся уровнем уязвимостей.

Ideco выстроила 25 формализованных процессов разработки безопасного ПО (РБПО), охватывающих полный жизненный цикл продукта: от архитектуры и моделирования угроз — до вывода из эксплуатации. Компания проходит внутренние и внешние аудиты, соответствует требованиям ГОСТ и не зависит от сторонних поставщиков ПО: базовая ОС обновляется с каждым релизом.

В рамках статического анализа проверено 1062 предупреждения в 40 проектах. Подтверждённые уязвимости уровней Critical и Major блокируют выход релиза — до полного устранения. Динамический анализ и фаззинг проводятся по модели угроз: каждый модуль проходит не менее 50 часов фаззинга, ядро — около 350 часов.

Сравнение версий продукта демонстрирует устойчивую положительную динамику:

• Версия 19.17: 13 критических CVE
• Версия 21.12: 9 критических CVE — снижение на 30%
• HIGH / MEDIUM / LOW уязвимостей в обеих версиях — 0

Анализ основан на базе NVD, содержащей 980 831 запись. Часть CVE классифицирована как Mitigated (3) или NotAffected (24) — они не представляют реальной угрозы в контексте эксплуатации продукта.

Инфраструктура автотестирования Ideco включает 300 виртуальных машин, 45 параллельных потоков и полный цикл прогона за 3,5−4 часа. Итого: 5195 автоматизированных и 637 ручных тестов. Покрытие охватывает кластерные сценарии, виртуальные контексты, функции безопасности и нагрузочные испытания.

Ключевой архитектурный принцип — строгое разделение Control Plane и Data Plane. Управляющий и пользовательский трафик изолированы через контейнерную модель с раздельными ресурсами. Это означает: даже в момент атаки на Data Plane администратор сохраняет полный контроль над устройством.

Виртуальные контексты VCE позволяют разделять зоны безопасности внутри одного устройства с привязкой к аппаратным ресурсам. Архитектура последовательно развивается: в 2026 году весь трафик обрабатывается только внутри VCE с hardening служб.

Файловая система построена на связке EROFS + OverlayFS + LVM: общий read-only образ и изолированные OverlayFS для каждого VCE обеспечивают лёгкие обновления и быстрые откаты без риска для данных.

Ideco защищает не только клиентов, но и собственную среду разработки — ведь её компрометация напрямую угрожает продукту. Меры включают:

• SSO + двухфакторная аутентификация для всех ~300 внутренних сервисов
• API-доступ исключительно через отзываемые токены — без логина и пароля
• Ежедневное сканирование безопасности с использованием SIEM
• SLA устранения критических уязвимостей во внутренних сервисах — 24 часа.