Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт.
SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.
Что такое NGFW и SASE
NGFW (Next Generation Firewall) — межсетевой экран следующего поколения. Это развитие классического межсетевого экрана, ориентированное не только на сетевые атрибуты, но и на контекст работы приложений и пользователей.
NGFW позволяет:
Анализировать трафик на уровне приложений (L7)
Определять конкретное приложение или его функцию, а не только IP, порт и протокол.Выполнять обнаружение и предотвращение вторжений (IDS/IPS)
На основе сигнатур, поведенческого анализа и обновляемых баз угроз.TLS/SSL инспекция
Расшифровка и анализ зашифрованного трафика.
Контролировать доступ с учётом пользоват��ля и контекста
Интеграция с AD/LDAP, учет ролей, групп, времени, типа трафика.Реализовывать сегментацию
Контроль взаимодействия между серверами, сервисами и зонами внутри сети.Интегрироваться с экосистемой ИБ
SIEM, Sandbox, DLP, системы управления уязвимостями и мониторинга.Работать на высокопроизводительных аппаратных платформах
Предсказуемая производительность, низкие задержки, высокая пропускная способность, отказоустойчивость
При этом NGFW стоит в конкретной точке сети (периметр ЦОД, DMZ, сегмент) и осуществляет контроль там, где физически проходит трафик.
SASE (Secure Access Service Edge) — это не отдельный продукт, а облачная архитектура, предназначенная для безопасного подключения пользователей, филиалов и устройств из любой точки.
SASE объединяет в себе:
Сетевые функции (SD-WAN)
Оптимальная маршрутизация трафика, отказоустойчивость, работа с несколькими каналами связи.Доступ с нулевым доверием (ZTNA)
Пользователь не получает доступа к сети целиком, а только к конкретному приложению после аутентификации и проверки контекста.Облачный межсетевой экран (Firewall-as-a-Service)
Централизованный контроль и фильтрация трафика на уровне сервиса.Брокер безопасного доступа к облачным сервисам (CASB)
Контроль доступа к SaaS, видимость использования облачных приложений, защита данных.
При этом в SASE:
контроль и безопасность переносятся ближе к пользователю;
точки присутствия (PoP) распределены географически;
масштабирование происходит как сервис, а не за счёт «железа».
Ключевое различие
NGFW контролирует трафик внутри инфраструктуры, где важны глубина анализа, производительность и интеграции. SASE контролирует доступ к инфраструктуре, где важны масштабируемость, география и пользовательский контекст.
Проще говоря: NGFW защищает сеть и сервисы, SASE защищает доступ к ним.
Маркетинг vs Архитектурная целесообразность
Маркетинг преподносит SASE как универсальное решение, которое заменит всё, включая аппаратные NGFW. В презентациях NGFW часто выглядит как «устаревшее решение».
Реальность: компании имеют существующие ЦОД, критичные серверы и инвестиции в NGFW на миллионы. Есть требования по производительности, отказоустойчивости и интеграциям, а также требования соблюдения законодательства РФ.
Ключевой вопрос: нужно ли действительно «выбрасывать» NGFW ради SASE — или задача стоит в правильном архитектурном сочетании? Как совместить старое и новое? Нужно понять сильные стороны каждого.
NGFW как опорная точка защиты критичных активов
Глубокая инспекция в ЦОД: для трафика сервер-юг (восток-запад) и к критичным БД, где важна максимальная производительность и детализация. SASE здесь физически не применить.
Гранулярный контроль на L7: тонкая политика для сложных внутренних приложений, интеграция с внутренними системами (AD, Sandbox, DLP). Контроль не только пользователя, но и приложения, протокола, поведения.
Фактор «железа»: привязка к высокопроизводительным аппаратным платформам для обработки огромного трафика ЦОД. Предсказуемые задержки и SLA.
NGFW остаётся оптимальным инструментом защиты высоконагруженных и критичных сегментов, формируя ядро безопасности ЦОД. NGFW достигает максимальной эффективности в пределах инфраструктуры, где он установлен, и работает с предусмотренными для него нагрузками.
SASE: безопасность для распределённой рабочей среды
Решает конкретную проблему: безопасный и прямой доступ удаленного сотрудника или филиала к приложениям из любой точки, минуя классические сетевые VPN с полным доступом в корпоративную сеть.
Основная ценность: конвергенция сетевых (SD-WAN) и сервисов безопасности (FWaaS, CASB, ZTNA) в едином облаке. Пользователь получает безопасность «ближе к себе», и оптимально маршрутизируемый трафик.
Ограничения: SASE не предназначен для глубокой инспекции трафика в ЦОД. Это не замена полноценной сегментации внутри сети.
SASE — это не «универсальная замена», а специализированный инструмент для сценариев внешнего доступа и распределённых точек подключения.
Гибридная модель Zero Trust: как NGFW и SASE работают вместе
Архитектурная идея заключается в том, что Zero Trust — это не продукт, а архитектура. NGFW и SASE — разные контрольные точки в этой архитектуре.
Практический сценарий:
1. Удалённый пользователь подключается к корпоративному приложению через SASE‑платформу.
2. SASE выполняет ��утентификацию, проверку устройства и контекстную авторизацию (ZTNA).
3. Доступ разрешён только к конкретному приложению.
4. Приложение обращается к данным во внутреннем сегменте ЦОД.
5. На границе сегмента работает NGFW:
не проверяет пользователя (он уже проверен);
проверяет контекст сессии;
контролирует L7;
обеспечивает IPS/IDS;
осуществляет сегментацию.
Роль NGFW в Zero Trust:
Контроль взаимодействия сервисов.
Защита данных после прохождения внешнего периметра.
Почему нельзя просто «накрутить всё на NGFW»
На практике попытки реализовать все сценарии удалённого доступа и облачной безопасности исключительно на NGFW приводят к ряду системных ограничений.
Ограничения о которых обычно не говорят:
1. География и латентность
NGFW стоит в ЦОД:
дополнительные сетевые переходы;
увеличение задержек и джиттера;
ухудшение качества сервисов для удалённых пользователей;
рост нагрузки на периметр.
2. Масштабирование
NGFW не масштабируется географически без кратного усложнения инфраструктуры;
SASE масштабируется эластично, пользователь подключается к ближайшей PoP-точке.
3. Сложности эксплуатации
Попытка сделать из NGFW VPN-концентратор, CASB, ZTNA, proxy для SaaS и контроль устройств приводит к сложным политикам, хрупким конфигурациям и ошибкам на стыке ролей.
NGFW хорош, когда он контролирует сеть, а не весь мир.
Экономика и практические выводы
Если говорить об экономике, то здесь подходы кардинально отличаются. NGFW традиционно масштабируется за счёт «железа»: покупки более мощных устройств или их кластеризации. SASE же масштабируется как облачный сервис: вы получаете ровно столько ресурсов, сколько нужно здесь и сейчас, без капитальных затрат на оборудование. Поэтому пытаться заставить NGFW решать задачи SASE, например, фильтровать трафик тысяч удалённых сотрудников, дорого и крайне неэффективно. Отсюда вытекает чёткое разделение зон ответственности в современной гибридной архитектуре.
SASE — это оптимальный выбор для защиты всего, что находится за пределами традиционного периметра. Он создан для удалённых пользователей, распределённых филиалов и прямого доступа к облачным сервисам, обеспечивая безопасность прямо в облачной точке присутствия, близко к пользователю.
NGFW же незаменим внутри инфраструктуры. Его сила — в защите ЦОД, критичных сегментов сети, в детальной сегментации и глубокой инспекции трафика между серверами, там, где требуется максимальная производительность и контроль.
Практический подход заключается не в том, чтобы заменять проверенные NGFW, а в том, чтобы грамотно дополнить их SASE-сервисами. Поэтапно вынося интернет-трафик мобильных сотрудников и филиалов в облако, вы разгружаете корпоративный периметр, позволяя NGFW сфокусироваться на своей ключевой миссии.
Заключение
В современной архитектуре нужно уметь увязать коробочные решения и облачные сервисы в единую гибкую систему. В этом симбиозе NGFW становится стратегическим союзником, берущим на себя самую ресурсоёмкую и глубокую аналитическую работу в сердце ИТ-инфраструктуры. Такой эволюционный путь позволяет строить эффективную защиту, не ломая существующую инфраструктуру и инвестиции.
