Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил.
Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.).
Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах.
Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно.
Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.
Российский рынок движется в том же направлении, но с поправкой на регуляторику, и местные особенности. Чисто облачный SASE западного образца в условиях 152-ФЗ о персональных данных и требований ФСТЭК – для многих невозможный путь. В России актуальнее гибридная модель: on-premise NGFW, дополненный облачными функциями безопасности, ZTNA-клиентом и централизованным управлением.
В этой статье мы разберём архитектуру SASE и SSE, покажем, почему VPN уступает место ZTNA, сравним глобальный cloud-first и российский on-premise-first подходы, рассмотрим роль AI в сетевой безопасности и проанализируем, как российские вендоры - и Ideco в частности - строят гибридные платформы защиты (и кто из «десяти NGFW» лидирует в современных технологических подходах к безопасности).
Что такое SASE и SSE: архитектурный разбор
SASE - это не продукт, а архитектурная концепция. Gartner определяет SASE как конвергенцию сетевых и security-сервисов, доставляемых из облака как единая услуга.
SASE = SD-WAN + SSE (Security Service Edge)
Где SSE, в свою очередь, включает четыре ключевых компонента:
SWG (Secure Web Gateway) - фильтрация веб-трафика, защита от вредоносных сайтов и контента;
CASB (Cloud Access Security Broker) - контроль доступа к облачным приложениям, DLP (защита от утечек информации, а не «для любителей подглядывать»), обнаружение Shadow IT;
ZTNA (Zero Trust Network Access) - доступ к приложениям по принципу наименьших привилегий, без прямого подключения к сети;
FWaaS (Firewall as a Service) - облачный межсетевой экран с инспекцией трафика.
SSE - это security-часть SASE без SD-WAN. Для организаций, которые уже вложились в SD-WAN-инфраструктуру, SSE позволяет добавить облачную безопасность поверх существующей сетевой ткани, не перестраивая всё с нуля.
Архитектурно SASE выглядит следующим образом. В центре - облачная платформа с распределёнными точками присутствия (PoP). Пользователь - будь он в офисе, дома или в кофейне - подключается к ближайшему PoP через лёгкий агент или SD-WAN-устройство. На PoP выполняется полный стек безопасности: TLS-инспекция, URL-фильтрация, DLP-проверка, ZTNA-авторизация. Трафик маршрутизируется по оптимальному пути: напрямую в SaaS-приложение, в корпоративный ДЦ или частное облако. Политики безопасности (правила фильтрации и файрвола) задаются централизованно и применяются одинаково для любого пользователя в любой точке.
В мире однозначно наступает «эпоха» SASE (в России отрасль немного «заигралась» в базовые ИБ-решения, такие как NGFW, но из-за развития ИТ-технологий и смены сетевого ландшафта также войдет в новую эпоху).
Тренд 2026 года - «Universal ZTNA»: единая модель доступа для офисных, удалённых и мобильных сотрудников без разделения на «внутреннюю» и «внешнюю» сеть. Это логическое продолжение SASE: сеть перестаёт быть фактором доверия, а безопасность становится свойством идентичности и контекста.
От VPN к ZTNA: почему традиционный удалённый доступ устарел
VPN (Virtual Private Network) был стандартом удалённого доступа два десятилетия. Принцип работы простой и сейчас о нем знают воистину «от мала до велика».
Но VPN не различает, к какому приложению обращается пользователь. Он создаёт туннель ко всей сети. Скомпрометированное устройство с VPN-доступом - это открытая дверь для латерального перемещения злоумышленника. Если атакующий получает VPN-учётные данные (через фишинг, утечку или стилер), он получает тот же уровень доступа, что и легитимный сотрудник.
Формально можно ограничить доступ VPN-пользователей правилами межсетевого экрана, но на практике в крупной сети с сотнями сервисов и динамически меняющейся топологией поддержание гранулярных ACL для каждой роли превращается в неподъёмную задачу — и со временем правила неизбежно деградируют до избыточно широких разрешений.
ZTNA (Zero Trust Network Access) снимает эту проблему архитектурно. Вместо туннеля ко всей сети ZTNA предоставляет доступ к конкретному приложению - и только после проверки идентичности пользователя, состояния его устройства и контекста подключения. Три принципа Zero Trust, сформулированные NIST (Национальный институт стандартов и технологий США, что-то вроде ФСТЭК, но в области стандартов, а не контроля их соблюдения):
Проверяй комплаэнс - аутентифицируй и авторизуй каждый запрос на основании всех доступных сигналов: идентичности, 2FA, местоположения, устройства, требований безопасности, времени, программной среды, аномалий поведения;
Минимум привелегий - предоставь минимально необходимый доступ: только к нужному приложению, только на время сессии, только с нужными правами;
Исходи из компрометации - проектируй систему так, как будто компрометация уже произошла: микросегментация, шифрование, непрерывный мониторинг поможет вовремя среагировать и минимизировать последствия.
По прогнозу Gartner, к 2026 году 70% новых развёртываний корпоративного удалённого доступа будут использовать ZTNA вместо традиционного VPN.
Для распределённых команд ZTNA даёт ряд критических преимуществ перед VPN:
Микросегментация доступа - удалённый разработчик получает доступ к репозиторию и CI/CD, но не к финансовой системе;
Проверка состояния устройства (device posture) - подключение разрешается только с устройств, соответствующих политике безопасности (актуальный антивирус, шифрование диска, свежие обновления ОС, запущенный EDR, примененные политики домена);
Невидимость инфраструктуры - приложения не экспонированы в интернет, атакующий не может даже обнаружить цель для атаки;
Единообразный опыт - одинаковые политики безопасности для офисного и удалённого пользователя, исключение «VPN-исключений».
Переход от VPN к ZTNA - это не замена одного инструмента другим. Это смена модели доверия: вместо «подключился к сети - значит, доверен» - «докажи, кто ты и зачем».
Два мира: глобальный cloud-first vs. российский on-premise-first
Глобальная индустрия безопасности переживает массовый сдвиг в сторону cloud-native. SASE по определению - облачная архитектура. Zscaler, Netskope, Cloudflare строят свои платформы как глобально распределённые облачные сервисы. Palo Alto Networks и Fortinet - исторически аппаратные вендоры - инвестируют миллиарды в облачную инфраструктуру (а Check Point в 2023 году купил Perimeter 81 чтобы угнаться за лидерами). Логика проста: если пользователи и приложения в облаке, то и безопасность должна быть в облаке.
В России картина иная - и на то есть объективные причины.
Регуляторные ограничения
Федеральный закон 152-ФЗ требует хранения персональных данных граждан РФ на территории России и соответственно комплаенсу размещены в аттестованных системах. Закон 187-ФЗ устанавливает требования к защите критической информационной инфраструктуры (КИИ). ФСТЭК и ФСБ сертифицируют средства защиты информации - и эта сертификация, как правило, привязана к конкретным аппаратным и программным конфигурациям (где для МФМЭ и МЭ типа «А», стоящего на границе локальной сети и интернета возможно только применение программно-аппаратных комплексов). Штрафы за утечки персональных данных растут: до 15 млн рублей за инцидент, а при повторном нарушении - до 3% годового оборота компании. Для крупного бизнеса это мотивация, которую сложно игнорировать.
Предпочтение частных облаков
Финансовый сектор, государственные структуры, здравоохранение - отрасли, которые обрабатывают наиболее чувствительные данные - тяготеют к частным облакам и собственным ДЦ. Это выбор, продиктованный регуляторикой и моделью угроз.
Российский облачный рынок при этом растёт впечатляющими темпами: объём облачных сервисов в 2024 году составил 392 млрд рублей, а среднегодовой рост (CAGR) - 26%. Но структура этого роста отличается от глобальной: значительная доля приходится на частные и гибридные облака.
Отдельного упоминания заслуживает VK Cloud, аттестованный по УЗ-1 (ФСТЭК) - максимальный уровень защищённости для персональных данных. VK Private Cloud сертифицирован ФСТЭК для ГИС К-1 и КИИ 1-й категории. Это позволяет размещать в облаке VK даже критически важные системы, оставаясь в рамках регуляторных требований. Другие облачные провайдеры также вступают на этот путь, что открывает возможности по их использованию для многих компаний.
Гибридная модель - ответ для России
Вывод для архитектора безопасности: чисто облачный SASE западного образца в российских условиях применим ограниченно. Оптимальная модель - гибридная:
On-premise NGFW - для защиты периметра ДЦ и офисов, инспекции трафика, IPS, контроля приложений;
Облачное развёртывание NGFW - для защиты workloads в частных и публичных облаках;
ZTNA-клиент - для безопасного доступа удалённых и мобильных сотрудников (для небольших и средних компаний может быть совмещен с NGFW, для большого количества пользователей – являться его отдельной инсталляцией);
SD-WAN - для оптимизации связности между филиалами и облаками;
Единый центр управления - для консистентных политик и мониторинга.
Этот подход перекликается с концепцией Sovereign SASE, которую HPE выделяет как один из ключевых трендов 2026 года: SASE-архитектура, адаптированная к требованиям суверенитета данных конкретной юрисдикции. Для России, с её регуляторным ландшафтом, Sovereign SASE не дань условному «тренду Гартнера», а практическая необходимость.
AI в сетевой безопасности: тренды 2026
Искусственный интеллект трансформирует сетевую безопасность с двух сторон: как инструмент защиты и как оружие атаки. Понимание обеих сторон критично для проектирования архитектуры безопасности.
AI на стороне защиты
AI-driven SASE - один из шести ключевых трендов 2026 года. Речь идёт о применении машинного обучения для предиктивной аналитики (предсказание сбоев и аномалий до того, как они повлияют на сервис), AIOps (автоматическая настройка сетевых параметров, балансировка нагрузки, оптимизация маршрутов) и threat detection (выявление вредоносного трафика в реальном времени).
Концепция AI Firewalls набирает обороты. AI Firewall - это не просто файрвол с ML-движком, а специализированный компонент, фильтрующий входы и выходы AI-систем. В условиях, когда организации массово внедряют LLM и AI-агентов, контроль того, какие данные поступают в модель и какие ответы или действия она генерирует, становится задачей сетевой безопасности.
AI-powered threat detection достигает впечатляющих показателей: точность обнаружения фишинговых атак превышает 97%, по данным SentinelOne. ML-модели способны выявлять паттерны атак, которые традиционные сигнатурные системы пропускают: zero-day эксплойты, полиморфное вредоносное ПО, аномальное поведение легитимных учётных записей.
Для российского рынка NGFW тренд AI-driven security также актуален. Ближайшая задача Ideco интеграция ML в движок NGFW для обнаружения аномалий и классификации трафика. А уже сделанное совместно с СкайДНС решение – модуль DNS Security, с помощью ML-моделей выявляющий вредоносный трафик, фишинговые и DGA-домена, а также DNS-туннели в режиме реального времени.
AI на стороне атаки
Adversarial AI - обратная сторона медали. Атакующие используют AI для генерации фишинговых писем, неотличимых от легитимных, обхода систем обнаружения вторжений, отравления обучающих данных (model poisoning) и извлечения моделей (model extraction).
Отдельного внимания заслуживает прогноз Palo Alto Networks: к концу 2026 года соотношение AI-агентов к людям в корпоративных средах достигнет 82:1. Каждый AI-агент - это потенциальный вектор атаки, потенциальный insider threat. Если агент скомпрометирован или его инструкции подменены, он может действовать внутри сети с правами, которые ему были делегированы. Это создаёт принципиально новую модель угроз, которую традиционные NGFW не учитывают.
Таким образом ML-модули в составе NGFW и SASE - уже не опция, а необходимость. При этом защита самих AI-систем (AI Firewall, контроль данных LLM, мониторинг поведения AI-агентов) становится новым слоем безопасности, который необходимо закладывать в архитектуру безопасности и модель угроз.
Российский рынок NGFW: зрелость и новые горизонты
Российский рынок NGFW вышел из фазы «экстренного импортозамещения» и вступил в фазу зрелого выбора. Заказчик в 2026 году уже не просто выбирает «кто есть в реестре», а сравнивает архитектуры, производительность, экосистемность.
При этом, по данным SecPost, от 40 до 50% инсталляций в крупных организациях до сих пор работают на оборудовании иностранных вендоров (Fortinet, Palo Alto Networks, Check Point). Эти решения продолжают функционировать, но их замена - вопрос времени: окончание поддержки, невозможность продления лицензий, регуляторные требования делают миграцию неизбежной.
Ключевые тренды российского рынка NGFW:
Конвергенция NGFW и SASE/SSE - появление гибридных решений от российских вендоров, объединяющих on-premise и облачные функции безопасности;
AI-driven security - интеграция ML в движок NGFW для обнаружения аномалий, классификации трафика, автоматического реагирования;
Единая консоль управления - централизованное управление распределённой инфраструктурой, интеграция с SIEM и SOAR;
Экосистема безопасности - NGFW становится ядром экосистемы, вокруг которого строятся EDR, NDR, SIEM, threat intelligence. При этом в России вряд ли появятся крупные моновендорные экосистемы (для их формирования не хватит объема рынка), речь скорее идет о «российской экосистеме» ИТ и ИБ-решений.
Рынок готов к следующему этапу: от замены иностранного NGFW - к построению интегрированной платформы безопасности, в которой NGFW - центральный, но не единственный элемент.
Роадмап Ideco в направлении SASE/гибридной защиты
Ideco - один из российских вендоров, системно выстраивающих движение от классического NGFW к гибридной платформе безопасности. Рассмотрим ключевые направления нашего роадмапа на 2026 год и их связь с архитектурой SASE.
Ideco NGFW Novum: от ДЦ к облаку
Ideco NGFW Novum уже доступен для развёртывания в VK Cloud (а в ближайшее время появится в Yandex Cloud) - через маркетплейс облачной платформы. Это полнофункциональный NGFW, объединяющий межсетевой экран, IPS, контроль приложений, антивирус и фильтрацию контента. Развёртывание занимает минуты, тарификация - pay-as-you-go. Минимальные требования: vCPU 4, RAM 16 ГБ, диск 150 ГБ.
Значимость этого шага выходит за рамки «ещё одного маркетплейса». Развёртывание NGFW в облаке - это первый элемент гибридной модели: одни и те же политики безопасности, один и тот же движок - и в корпоративном ДЦ, и в облаке. Вместо двух разных продуктов для двух сред - единая платформа.
Ideco Center: единый центр управления
Распределённая инфраструктура без единого центра управления - это хаос конфигураций и консистентности. Ideco Center решает эту задачу. Роадмап на 2026 год:
Q1: управление высокопроизводительными контекстами, географически распределённый кластер, сбор журналов IPS и WAF;
Q2: шаблонизация настроек (сетевые интерфейсы, маршрутизация), импорт администраторов из Active Directory, сбор журналов аутентификации, веб-трафика и действий администратора;
Q3: наследование шаблонов, централизованное обновление версий, управление профилями антивируса, централизованный мониторинг, конструктор отчётов, управление IPSec-туннелями;
Q4: централизованное управление базами фильтрации, управление пользователями ALD/FreeIPA/RADIUS, проверка соответствия конфигурации шаблону с автоматическим уведомлением, управление VPN-аутентификацией.
В контексте SASE Ideco Center - это аналог централизованной облачной консоли, но адаптированный для гибридной модели: управление и on-premise, и облачными инстансами NGFW из одной точки.
Ideco Client + ZTNA: от VPN к Zero Trust
Ideco развивает собственный ZTNA-клиент, постепенно наращивая функциональность:
Q1: Machine Certificate аутентификация - привязка к уникальному идентификатору устройства (таким образом можно реализовать 3FA-аутентификацию);
Q2: проверка файлов на устройстве, контроль пакетов и версий в Linux и macOS, аутентификация по сертификатам на токенах - элементы device posture check;
Q3: клиент для Android и iOS, ZTNA для мобильных устройств - расширение Zero Trust на мобильный сегмент;
Q4: кастомная настройка клиента через веб-интерфейс NGFW, дополнительные факторы идентификации устройства.
Эволюция Ideco Client отражает общий тренд перехода от VPN к ZTNA: от туннеля ко всей сети - к гранулярному доступу по принципу «один пользователь - одно приложение - один контекст».
SD-WAN: оптимизация связности
SD-WAN - сетевая часть SASE-формулы. Роадмап Ideco SD-WAN:
Q1: SLA-профили (latency, jitter, packet loss), автоматическое управление каналами на основании SLA, мониторинг переключений;
Q2: QoS для приоритизации критического трафика, BFD для BGP, централизованное управление IPSec-туннелями;
Q4: поддержка топологии full-mesh, jumbo frame - масштабирование для крупных распределённых сетей.
Кластеризация и отказоустойчивость
Для enterprise-уровня критически важна высокая доступность. В роадмапе 2026:
Q1: Graceful Restart в BGP и OSPF, синхронизация FIB-таблицы и LACP-интерфейсов;
Q2: ускорение переключения нод кластера, мониторинг состояния второй ноды;
Q4: защита от split-brain, Active-Active кластер - полная отказоустойчивость без деградации производительности.
Информационная безопасность: расширение стека
Параллельно с движением к SASE-архитектуре Ideco наращивает ИБ-функциональность:
Защита от туннелинга (ICMP, GRE, SSL, SSH) - противодействие обходу периметра;
2FA для администраторов - усиление аутентификации на уровне управления;
Интеграция с ФинЦЕРТ - автоматическое использование списков IP-адресов и FQDN от регулятора;
Защита от DoS: SYN-flood, TCP-flood, UDP-flood, ICMP-flood, spoofing;
Технологическое партнёрство с множеством вендоров - расширение экосистемы.
Итог: Ideco как гибридная платформа
Ideco системно движется к гибридной модели SASE:
On-premise NGFW - защита периметра ДЦ и офисов;
Облачное развёртывание - VK Cloud, Яндекс.Облако;
ZTNA-клиент - для Windows, Linux, macOS, Android, iOS;
SD-WAN - SLA-управление, QoS, full-mesh;
Ideco Center - единая консоль управления всей инфраструктурой.
Это не копия западной модели SASE, а её адаптация к российским реалиям: суверенная, гибридная, сертифицированная ФСТЭК.
Практические рекомендации: как начать путь к гибридной защите
Переход к конвергентной архитектуре NGFW + SASE - это не одномоментный проект, а поэтапная трансформация. Как отмечает Open Systems, оптимальный подход - фазированная конвергенция: начать с одного компонента и постепенно наращивать интеграцию. Вот пошаговый план для организации, стоящей в начале пути.
Шаг 1. Аудит текущей инфраструктуры
Прежде чем строить новую архитектуру, нужно понять текущую. Ответьте на ключевые вопросы:
Сколько сотрудников работают удалённо или в гибридном режиме?
Какие приложения находятся в облаке, какие - on-premise?
Используется ли VPN? Какие проблемы с ним фиксируются?
Есть ли распределённая филиальная сеть?
Какие регуляторные требования применимы (152-ФЗ, 187-ФЗ, отраслевые стандарты)?
Шаг 2. Пилот ZTNA для удалённых сотрудников
Наиболее быстрый и заметный эффект - замена VPN на ZTNA для удалённых сотрудников. Это не требует перестройки всей сетевой инфраструктуры, но сразу повышает безопасность и улучшает пользовательский опыт. Начните с одной группы пользователей и одного набора приложений. Измерьте: скорость подключения, количество инцидентов, удовлетворённость пользователей.
Шаг 3. Централизация управления
Если у вас более одного NGFW (а у большинства организаций с филиалами это так), единый центр управления - следующий приоритет. Шаблонизация настроек, централизованный мониторинг, единообразные политики - всё это снижает вероятность ошибки конфигурации, которая является одной из главных причин инцидентов.
Шаг 4. SD-WAN для филиальной сети
Если у организации есть филиалы с несколькими каналами связи, SD-WAN даёт быстрый выигрыш: автоматическая балансировка, SLA-управление, QoS для критического трафика. Это сетевой фундамент для будущей SASE-архитектуры.
Шаг 5. Оценка TCO гибридной модели
Сравните совокупную стоимость владения: отдельный NGFW + отдельный VPN + отдельный SD-WAN vs. интегрированная платформа. Учитывайте не только стоимость лицензий, но и: время на администрирование, количество консолей управления, скорость реагирования на инциденты, стоимость интеграции.
Шаг 6. Соответствие компплаенсу
Для российских организаций принципиально важно, чтобы архитектура безопасности изначально проектировалась с учётом требований регуляторов: данные обрабатываются на территории РФ, ПО находится в реестре отечественного и было сертифицировано ФСТЭК.
Заключение
Конвергенция NGFW и SASE - технологическая неизбежность, обусловленная трансформацией рабочей среды. Когда сотрудники распределены по городам и странам, приложения - между ДЦ и облаками, а AI-агенты расширяют поверхность атаки, одного периметрового файрвола недостаточно.
Глобальный рынок движется к single-vendor SASE - облачным платформам, объединяющим SD-WAN, ZTNA, SWG, CASB и FWaaS. Россия идёт своим путём: регуляторный ландшафт, требования к суверенитету данных и структура облачного рынка делают чисто облачную модель недостаточной. Ответ - гибридная архитектура: on-premise NGFW + облачное развёртывание + ZTNA + SD-WAN + единый центр управления.
Ideco выстраивает платформу, которая соответствует этой модели. Роадмап 2026 года включает все ключевые компоненты: Ideco Center для централизованного управления, Ideco Client с ZTNA для безопасного доступа, SD-WAN с SLA-профилями и QoS, развёртывание в VK Cloud и Яндекс.Облаке, Active-Active кластеризацию. Это не проект «на будущее» - это план действий на текущий год.
Для ИТ-директоров и ИБ-архитекторов 2026 год - время осознанного выбора архитектуры безопасности. Не «какой NGFW купить», а «какую платформу строить». Гибридная модель, объединяющая лучшее от on-premise и cloud, - наиболее прагматичный ответ для российских распределённых команд.
