Весной 2022 года процесс закупки зарубежной системы виртуализации VMware в России фактически остановился – компания в одностороннем порядке разорвала контракты с российскими партнерами без возврата денежных средств. У бизнеса осталось не так много опций: приобретение через посредников в дружественных странах или неофициальное скачивание программного обеспечения с торрентов. Оба варианта несут серьезные риски, причем и юридические, и технические. Как и следовало ожидать, в мае 2025 VMware приняла жесткие меры в отношении обходных схем, но об этом – чуть позже.

Мы в Orion soft разобрались, что значат для отечественного рынка очередные изменения в политике лицензирования и поддержки VMware и какие риски берут на себя те, кто продолжает пользоваться ее решением.

С чего все началось

Начнем с небольшой предыстории. Критические изменения для российских пользователей начались еще в марте 2022 года, когда VMware ушла с отечественного рынка. Вендор заблокировал пользовательский портал — единственный канал, через который можно официально скачивать обновления и заводить заявки в техническую поддержку. 

Кроме того, компания разорвала все существующие контракты с российскими заказчиками и отказалась заключать новые. Поэтому сегодня в нашей стране нет способа легально приобрести новые лицензии на последнюю версию продукта по виртуализации – VMware vSphere 8.0. Невозможна и покупка пакетов техподдержки на версию продукта 7.0, которой сейчас пользуется большая часть отечественного рынка. 

У VMware две модели лицензирования: perpetual, то есть бессрочная лицензия, когда после покупки софт навсегда принадлежит заказчику, но пакеты техподдержки нужно покупать отдельно, и вторая – подписочная, действие этой лицензии надо регулярно обновлять. 

В феврале 2024 года VMware вошла в состав компании Broadcom. После этого вендор объявил о решении отказаться от модели perpetual и заключать новые контракты только на подписку. При этом тем, кто уже приобрел «вечные» лицензии, пообещали давать возможность покупать новый пакет поддержки, предоставляя техподдержку в штатном режиме, возможность создавать тикеты и скачивать обновления.

Что произошло сейчас: новые риски для всей цепочки ИТ-партнеров

В начале 2025 года пользователей уведомили о том, что в связи с окончанием действовавших контрактов, они больше не могут получать поддержку и загружать обновления на ПО – именно на этом компания делает особый акцент, подчеркивая, что заказчики не имеют права на загрузку патчей и исправлений, которые выпускались после окончания действия контрактов (что на самом деле явно прописано в EULA на поддержку, но заказчики редко обращают внимание на этот пункт). Это означает, что без необходимых обновлений лицензии постепенно будут все более уязвимыми с точки зрения безопасности, что делает их непригодными для работы в продуктивных системах заказчиков. Например, есть уязвимости, которые позволяют удаленному злоумышленнику с сетевым доступом к vCenter Server и Cloud Foundation выполнять произвольный код, отправив специально сформированный сетевой пакет (CVE-2024-37080).

Не секрет, что за последние годы на рынке появились новые схемы обхода ограничений от VMware: через юрлицо, зарегистрированное в другой стране, или через альтернативные каналы. Эти методы влекут за собой высокие риски, это понимают и те, кто выкладывал обновления на торренты и передавал их знакомым лично в мессенджерах. Чаще всего такое происходит из-за неосторожности сотрудников. 

Реакция со стороны вендора не заставила себя ждать: теперь доступ к загрузке любых обновлений требует авторизации на сайте VMware. Ранее часть обновлений на некоторые продукты (например, обновления VMware Workstation) были доступны через публичные CDN, не требующие авторизации. Сейчас при загрузке обновлений с портала генерируются уникальные ссылки, которые могут отслеживаться вендором.

Если VMware заметит подозрительную активность, например, нетипично высокий трафик, то сможет легко это отследить, а потом без предупреждения деавторизовать всех, через кого прошел продукт, и как итог – заблокировать действие уже купленных лицензий. 

В итоге схемы получения софта через третьи страны и торренты станут менее массовыми. Осознавая последствия для себя и своей компании, многие перестанут нелегально скачивать обновления. Опасаясь деавторизации, зарубежные интеграторы и дистрибьюторы будут избегать продажи лицензий, которые могут уйти в Россию. Компаниям, которые не хотят мигрировать на российское ПО, останется принимать риски блокировки дочерних юрлиц и остановки ИТ-систем из-за деавторизации лицензий на себя.

Сколько выдержит ИБ без обновлений

Некоторые заказчики, которые не хотят подвергать себя риску деавторизации, могут решить, что проживут и без обновлений. Действительно, у многих компаний, которые еще не импортозаместили виртуализацию, VMware vSphere все еще работает относительно стабильно. Однако со временем в устаревших версиях ПО будет расти количество уязвимостей. Например, в продуктах VMware регулярно выявляются уязвимости различной степени критичности. Особенно важными здесь кажутся уязвимости, позволяющие получить несанкционированный доступ к консоли управления vCenter Server, что фактически открывает доступ ко всем ВМ, работающим на данной платформе виртуализации.

Без обновлений риск не устоять перед вирусом-шифровальщиком или другим инструментом злоумышленников будет расти и в какой-то момент станет критическим для большинства компаний. Особенно с учетом того, что 2 октября 2025 года наступит end of life поддержки VMware vSphere 7.0, и для этой версии продукта больше не будут выпускать никакие обновления и ИБ-патчи. 

В этой ситуации перед компаниями встает выбор: оставаться на западном ПО в надежде, что именно их инфраструктура не подвергнется атакам, или начать процесс импортозамещения.

Аргументом в пользу зарубежного решения чаще всего выступает его функциональность и пока еще стабильная работа. Тем не менее некоторые российские вендоры уже реализовали больше 90% базовых возможностей VMware vSphere и обзавелись достаточно масштабными инсталляциями, которые подтверждают стабильность работы ПО под высокими нагрузками. 

Что сейчас происходит с рынком

Если с уходом VMware ряд компаний продолжал уверенно пользоваться западными решениями, используя обходные пути, то уже в 2024 году стало формироваться осознание необходимости развития отечественных альтернатив, чтобы в будущем не оказаться в аналогичной зависимости, даже если иностранные вендоры однажды решат вернуться. 

По опыту работы Orion soft с крупными заказчиками наличие регулярных обновлений и комплексной техподдержки остается одним из основных аргументов в пользу миграции на российское ПО. Выбирать более защищенные решения – часть риск-ориентированного подхода к развитию бизнеса. Каждая компания сама решает, следовать ему или нет. Но учитывая растущее количество кибератак и кейсов взлома ИТ-инфраструктуры, он становится все актуальнее. 

Выводы из текущей ситуации с VMware довольно однозначны. Во-первых, неофициальные версии продуктов никуда не денутся, и обходные пути находят всегда. Нужно при этом понимать, что это станет значительно опаснее, особенно для тех, кто работает в международных проектах или имеет партнеров за рубежом, – риски юридических последствий возрастают. Во-вторых, новая система загрузки пакетов ПО серьезно ограничивает доступ к нелицензированному ПО: механика работает на упреждение, и в рунете такого софта может стать заметно меньше. В результате компании все чаще будут приходить к простому выводу: искать дистрибутив на форумах становится все опаснее, чем просто купить российский аналог. Это напоминает ситуацию с налогами — когда издержки на уклонение становятся сопоставимы с официальными платежами, бизнес переходит в белую зону. С виртуализацией, похоже, происходит то же самое.

P.S. А о том, что ждет российские компании после наступления end of life поддержки VMware vSphere (который перенесли с апреля 2025 года на октябрь), мы писали еще более подробно в одной из прошлых статей.