Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения — в корпоративном ДЦ, а удалённый доступ оставался исключением из правил.
Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК‑ми, стендами для нагрузочного тестирования NGFW и т. п.).
Наша цель — предоставить корпорациям решение для организации безопасной работы с современной ИТ‑инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах.
Классический NGFW в таких условиях остается необходимым — но его одного уже недостаточно.
Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security‑функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet — FortiSASE, Zscaler выстраивает cloud‑native SSE‑платформу. По данным Gartner, к 2028 году 50% SASE‑развёртываний будут базироваться на решении одного вендора — с 30% в 2025 году. Консолидация ускоряется.
Российский рынок движется в том же направлении, но с поправкой на регуляторику, и местные особенности. Чисто облачный SASE западного образца в условиях 152-ФЗ о персональных данных и требований ФСТЭК — для многих невозможный путь. В России актуальнее гибридная модель: on‑premise NGFW, дополненный облачными функциями безопасности, ZTNA‑клиентом и централизованным управлением.
В этой статье мы разберём архитектуру SASE и SSE, покажем, почему VPN уступает место ZTNA, сравним глобальный cloud‑first и российский on‑premise‑first подходы, рассмотрим роль AI в сетевой безопасности и проанализируем, как российские вендоры — и Ideco в частности — строят гибридные платформы защиты (и кто из «десяти NGFW» лидирует в современных технологических подходах к безопасности).
Что такое SASE и SSE: архитектурный разбор
SASE — это не продукт, а архитектурная концепция. Gartner определяет SASE как конвергенцию сетевых и security‑сервисов, доставляемых из облака как единая услуга.
SASE = SD‑WAN + SSE (Security Service Edge)
Где SSE, в свою очередь, включает четыре ключевых компонента:
SWG (Secure Web Gateway) — фильтрация веб‑трафика, защита от вредоносных сайтов и контента;
CASB (Cloud Access Security Broker) — контроль доступа к облачным приложениям, DLP (защита от утечек информации, а не «для любителей подглядывать»), обнаружение Shadow IT;
ZTNA (Zero Trust Network Access) — доступ к приложениям по принципу наименьших привилегий, без прямого подключения к сети;
FWaaS (Firewall as a Service) — облачный межсетевой экран с инспекцией трафика.
SSE — это security‑часть SASE без SD‑WAN. Для организаций, которые уже вложились в SD‑WAN‑инфраструктуру, SSE позволяет добавить облачную безопасность поверх существующей сетевой ткани, не перестраивая всё с нуля.
Архитектурно SASE выглядит следующим образом. В центре — облачная платформа с распределёнными точками присутствия (PoP). Пользователь — будь он в офисе, дома или в кофейне — подключается к ближайшему PoP через лёгкий агент или SD‑WAN‑устройство. На PoP выполняется полный стек безопасности: TLS‑инспекция, URL‑фильтрация, DLP‑проверка, ZTNA‑авторизация. Трафик маршрутизируется по оптимальному пути: напрямую в SaaS‑приложение, в корпоративный ДЦ или частное облако. Политики безопасности (правила фильтрации и файрвола) задаются централизованно и применяются одинаково для любого пользователя в любой точке.
В мире однозначно наступает «эпоха» SASE (в России отрасль немного «заигралась» в базовые ИБ‑решения, такие как NGFW, но из‑за развития ИТ‑технологий и смены сетевого ландшафта также войдет в новую эпоху).
Тренд 2026 года — «Universal ZTNA»: единая модель доступа для офисных, удалённых и мобильных сотрудников без разделения на «внутреннюю» и «внешнюю» сеть. Это логическое продолжение SASE: сеть перестаёт быть фактором доверия, а безопасность становится свойством идентичности и контекста.
От VPN к ZTNA: почему традиционный удалённый доступ устарел
VPN (Virtual Private Network) был стандартом удалённого доступа два десятилетия. Принцип работы простой и сейчас о нем знают воистину «от мала до велика».
Но VPN не различает, к какому приложению обращается пользователь. Он создаёт туннель ко всей сети. Скомпрометированное устройство с VPN‑доступом — это открытая дверь для латерального перемещения злоумышленника. Если атакующий получает VPN‑учётные данные (через фишинг, утечку или стилер), он получает тот же уровень доступа, что и легитимный сотрудник.
Формально можно ограничить доступ VPN‑пользователей правилами межсетевого экрана, но на практике в крупной сети с сотнями сервисов и динамически меняющейся топологией поддержание гранулярных ACL для каждой роли превращается в неподъёмную задачу — и со временем правила неизбежно деградируют до избыточно широких разрешений.
ZTNA (Zero Trust Network Access) снимает эту проблему архитектурно. Вместо туннеля ко всей сети ZTNA предоставляет доступ к конкретному приложению — и только после проверки идентичности пользователя, состояния его устройства и контекста подключения. Три принципа Zero Trust, сформулированные NIST (Национальный институт стандартов и технологий США, что‑то вроде ФСТЭК, но в области стандартов, а не контроля их соблюдения):
Проверяй комплаэнс — аутентифицируй и авторизуй каждый запрос на основании всех доступных сигналов: идентичности, 2FA, местоположения, устройства, требований безопасности, времени, программной среды, аномалий поведения;
Минимум привелегий — предоставь минимально необходимый доступ: только к нужному приложению, только на время сессии, только с нужными правами;
Исходи из компрометации — проектируй систему так, как будто компрометация уже произошла: микросегментация, шифрование, непрерывный мониторинг поможет вовремя среагировать и минимизировать последствия.
По прогнозу Gartner, к 2026 году 70% новых развёртываний корпоративного удалённого доступа будут использовать ZTNA вместо традиционного VPN.
Для распределённых команд ZTNA даёт ряд критических преимуществ перед VPN:
Микросегментация доступа — удалённый разработчик получает доступ к репозиторию и CI/CD, но не к финансовой системе;
Проверка состояния устройства (device posture) — подключение разрешается только с устройств, соответствующих политике безопасности (актуальный антивирус, шифрование диска, свежие обновления ОС, запущенный EDR, примененные политики домена);
Невидимость инфраструктуры — приложения не экспонированы в интернет, атакующий не может даже обнаружить цель для атаки;
Единообразный опыт — одинаковые политики безопасности для офисного и удалённого пользователя, исключение «VPN‑исключений».
Переход от VPN к ZTNA — это не замена одного инструмента другим. Это смена модели доверия: вместо «подключился к сети — значит, доверен» — «докажи, кто ты и зачем».
Два мира: глобальный cloud‑first vs. российский on‑premise‑first
Глобальная индустрия безопасности переживает массовый сдвиг в сторону cloud‑native. SASE по определению — облачная архитектура. Zscaler, Netskope, Cloudflare строят свои платформы как глобально распределённые облачные сервисы. Palo Alto Networks и Fortinet — исторически аппаратные вендоры — инвестируют миллиарды в облачную инфраструктуру (а Check Point в 2023 году купил Perimeter 81 чтобы угнаться за лидерами). Логика проста: если пользователи и приложения в облаке, то и безопасность должна быть в облаке.
В России картина иная — и на то есть объективные причины.
Регуляторные ограничения
Федеральный закон 152-ФЗ требует хранения персональных данных граждан РФ на территории России и соответственно комплаенсу размещены в аттестованных системах. Закон 187-ФЗ устанавливает требования к защите критической информационной инфраструктуры (КИИ). ФСТЭК и ФСБ сертифицируют средства защиты информации — и эта сертификация, как правило, привязана к конкретным аппаратным и программным конфигурациям (где для МФМЭ и МЭ типа «А», стоящего на границе локальной сети и интернета возможно только применение программно‑аппаратных комплексов). Штрафы за утечки персональных данных растут: до 15 млн рублей за инцидент, а при повторном нарушении — до 3% годового оборота компании. Для крупного бизнеса это мотивация, которую сложно игнорировать.
Предпочтение частных облаков
Финансовый сектор, государственные структуры, здравоохранение — отрасли, которые обрабатывают наиболее чувствительные данные — тяготеют к частным облакам и собственным ДЦ. Это выбор, продиктованный регуляторикой и моделью угроз.
Российский облачный рынок при этом растёт впечатляющими темпами: объём облачных сервисов в 2024 году составил 392 млрд рублей, а среднегодовой рост (CAGR) — 26%. Но структура этого роста отличается от глобальной: значительная доля приходится на частные и гибридные облака.
Отдельного упоминания заслуживает VK Cloud, аттестованный по УЗ-1 (ФСТЭК) — максимальный уровень защищённости для персональных данных. VK Private Cloud сертифицирован ФСТЭК для ГИС К-1 и КИИ 1-й категории. Это позволяет размещать в облаке VK даже критически важные системы, оставаясь в рамках регуляторных требований. Другие облачные провайдеры также вступают на этот путь, что открывает возможности по их использованию для многих компаний.
Гибридная модель — ответ для России
Вывод для архитектора безопасности: чисто облачный SASE западного образца в российских условиях применим ограниченно. Оптимальная модель — гибридная:
On‑premise NGFW — для защиты периметра ДЦ и офисов, инспекции трафика, IPS, контроля приложений;
Облачное развёртывание NGFW — для защиты workloads в частных и публичных облаках;
ZTNA‑клиент — для безопасного доступа удалённых и мобильных сотрудников (для небольших и средних компаний может быть совмещен с NGFW, для большого количества пользователей — являться его отдельной инсталляцией);
SD‑WAN — для оптимизации связности между филиалами и облаками;
Единый центр управления — для консистентных политик и мониторинга.
Этот подход перекликается с концепцией Sovereign SASE, которую HPE выделяет как один из ключевых трендов 2026 года: SASE‑архитектура, адаптированная к требованиям суверенитета данных конкретной юрисдикции. Для России, с её регуляторным ландшафтом, Sovereign SASE не дань условному «тренду Гартнера», а практическая необходимость.
AI в сетевой безопасности: тренды 2026
Искусственный интеллект трансформирует сетевую безопасность с двух сторон: как инструмент защиты и как оружие атаки. Понимание обеих сторон критично для проектирования архитектуры безопасности.
AI на стороне защиты
AI‑driven SASE — один из шести ключевых трендов 2026 года. Речь идёт о применении машинного обучения для предиктивной аналитики (предсказание сбоев и аномалий до того, как они повлияют на сервис), AIOps (автоматическая настройка сетевых параметров, балансировка нагрузки, оптимизация маршрутов) и threat detection (выявление вредоносного трафика в реальном времени).
Концепция AI Firewalls набирает обороты. AI Firewall — это не просто файрвол с ML‑движком, а специализированный компонент, фильтрующий входы и выходы AI‑систем. В условиях, когда организации массово внедряют LLM и AI‑агентов, контроль того, какие данные поступают в модель и какие ответы или действия она генерирует, становится задачей сетевой безопасности.
AI‑powered threat detection достигает впечатляющих показателей: точность обнаружения фишинговых атак превышает 97%, по данным SentinelOne. ML‑модели способны выявлять паттерны атак, которые традиционные сигнатурные системы пропускают: zero‑day эксплойты, полиморфное вредоносное ПО, аномальное поведение легитимных учётных записей.
Для российского рынка NGFW тренд AI‑driven security также актуален. Ближайшая задача Ideco интеграция ML в движок NGFW для обнаружения аномалий и классификации трафика. А уже сделанное совместно с СкайДНС решение — модуль DNS Security, с помощью ML‑моделей выявляющий вредоносный трафик, фишинговые и DGA‑домена, а также DNS‑туннели в режиме реального времени.
AI на стороне атаки
Adversarial AI — обратная сторона медали. Атакующие используют AI для генерации фишинговых писем, неотличимых от легитимных, обхода систем обнаружения вторжений, отравления обучающих данных (model poisoning) и извлечения моделей (model extraction).
Отдельного внимания заслуживает прогноз Palo Alto Networks: к концу 2026 года соотношение AI‑агентов к людям в корпоративных средах достигнет 82:1. Каждый AI‑агент — это потенциальный вектор атаки, потенциальный insider threat. Если агент скомпрометирован или его инструкции подменены, он может действовать внутри сети с правами, которые ему были делегированы. Это создаёт принципиально новую модель угроз, которую традиционные NGFW не учитывают.
Таким образом ML‑модули в составе NGFW и SASE — уже не опция, а необходимость. При этом защита самих AI‑систем (AI Firewall, контроль данных LLM, мониторинг поведения AI‑агентов) становится новым слоем безопасности, который необходимо закладывать в архитектуру безопасности и модель угроз.
Российский рынок NGFW: зрелость и новые горизонты
Российский рынок NGFW вышел из фазы «экстренного импортозамещения» и вступил в фазу зрелого выбора. Заказчик в 2026 году уже не просто выбирает «кто есть в реестре», а сравнивает архитектуры, производительность, экосистемность.
При этом, по данным SecPost, от 40 до 50% инсталляций в крупных организациях до сих пор работают на оборудовании иностранных вендоров (Fortinet, Palo Alto Networks, Check Point). Эти решения продолжают функционировать, но их замена — вопрос времени: окончание поддержки, невозможность продления лицензий, регуляторные требования делают миграцию неизбежной.
Ключевые тренды российского рынка NGFW:
Конвергенция NGFW и SASE/SSE — появление гибридных решений от российских вендоров, объединяющих on‑premise и облачные функции безопасности;
AI‑driven security — интеграция ML в движок NGFW для обнаружения аномалий, классификации трафика, автоматического реагирования;
Единая консоль управления — централизованное управление распределённой инфраструктурой, интеграция с SIEM и SOAR;
Экосистема безопасности — NGFW становится ядром экосистемы, вокруг которого строятся EDR, NDR, SIEM, threat intelligence. При этом в России вряд ли появятся крупные моновендорные экосистемы (для их формирования не хватит объема рынка), речь скорее идет о «российской экосистеме» ИТ и ИБ‑решений.
Рынок готов к следующему этапу: от замены иностранного NGFW — к построению интегрированной платформы безопасности, в которой NGFW — центральный, но не единственный элемент.
Роадмап Ideco в направлении SASE/гибридной защиты
Ideco — один из российских вендоров, системно выстраивающих движение от классического NGFW к гибридной платформе безопасности. Рассмотрим ключевые направления нашего роадмапа на 2026 год и их связь с архитектурой SASE.
Ideco NGFW Novum: от ДЦ к облаку
Ideco NGFW Novum уже доступен для развёртывания в VK Cloud (а в ближайшее время появится в Yandex Cloud) — через маркетплейс облачной платформы. Это полнофункциональный NGFW, объединяющий межсетевой экран, IPS, контроль приложений, антивирус и фильтрацию контента. Развёртывание занимает минуты, тарификация — pay‑as‑you‑go. Минимальные требования: vCPU 4, RAM 16 ГБ, диск 150 ГБ.
Значимость этого шага выходит за рамки «ещё одного маркетплейса». Развёртывание NGFW в облаке — это первый элемент гибридной модели: одни и те же политики безопасности, один и тот же движок — и в корпоративном ДЦ, и в облаке. Вместо двух разных продуктов для двух сред — единая платформа.
Ideco Center: единый центр управления
Распределённая инфраструктура без единого центра управления — это хаос конфигураций и консистентности. Ideco Center решает эту задачу. Роадмап на 2026 год:
Q1: управление высокопроизводительными контекстами, географически распределённый кластер, сбор журналов IPS и WAF;
Q2: шаблонизация настроек (сетевые интерфейсы, маршрутизация), импорт администраторов из Active Directory, сбор журналов аутентификации, веб‑трафика и действий администратора;
Q3: наследование шаблонов, централизованное обновление версий, управление профилями антивируса, централизованный мониторинг, конструктор отчётов, управление IPSec‑туннелями;
Q4: централизованное управление базами фильтрации, управление пользователями ALD/FreeIPA/RADIUS, проверка соответствия конфигурации шаблону с автоматическим уведомлением, управление VPN‑аутентификацией.
В контексте SASE Ideco Center — это аналог централизованной облачной консоли, но адаптированный для гибридной модели: управление и on‑premise, и облачными инстансами NGFW из одной точки.
Ideco Client + ZTNA: от VPN к Zero Trust
Ideco развивает собственный ZTNA‑клиент, постепенно наращивая функциональность:
Q1: Machine Certificate аутентификация — привязка к уникальному идентификатору устройства (таким образом можно реализовать 3FA‑аутентификацию);
Q2: проверка файлов на устройстве, контроль пакетов и версий в Linux и macOS, аутентификация по сертификатам на токенах — элементы device posture check;
Q3: клиент для Android и iOS, ZTNA для мобильных устройств — расширение Zero Trust на мобильный сегмент;
Q4: кастомная настройка клиента через веб‑интерфейс NGFW, дополнительные факторы идентификации устройства.
Эволюция Ideco Client отражает общий тренд перехода от VPN к ZTNA: от туннеля ко всей сети — к гранулярному доступу по принципу «один пользователь — одно приложение — один контекст».
SD‑WAN: оптимизация связности
SD‑WAN — сетевая часть SASE‑формулы. Роадмап Ideco SD‑WAN:
Q1: SLA‑профили (latency, jitter, packet loss), автоматическое управление каналами на основании SLA, мониторинг переключений;
Q2: QoS для приоритизации критического трафика, BFD для BGP, централизованное управление IPSec‑туннелями;
Q4: поддержка топологии full‑mesh, jumbo frame — масштабирование для крупных распределённых сетей.
Кластеризация и отказоустойчивость
Для enterprise‑уровня критически важна высокая доступность. В роадмапе 2026:
Q1: Graceful Restart в BGP и OSPF, синхронизация FIB‑таблицы и LACP‑интерфейсов;
Q2: ускорение переключения нод кластера, мониторинг состояния второй ноды;
Q4: защита от split‑brain, Active‑Active кластер — полная отказоустойчивость без деградации производительности.
Информационная безопасность: расширение стека
Параллельно с движением к SASE‑архитектуре Ideco наращивает ИБ‑функциональность:
Защита от туннелинга (ICMP, GRE, SSL, SSH) — противодействие обходу периметра;
2FA для администраторов — усиление аутентификации на уровне управления;
Интеграция с ФинЦЕРТ — автоматическое использование списков IP‑адресов и FQDN от регулятора;
Защита от DoS: SYN‑flood, TCP‑flood, UDP‑flood, ICMP‑flood, spoofing;
Технологическое партнёрство с множеством вендоров — расширение экосистемы.
Итог: Ideco как гибридная платформа
Ideco системно движется к гибридной модели SASE:
On‑premise NGFW — защита периметра ДЦ и офисов;
Облачное развёртывание — VK Cloud, Яндекс.Облако;
ZTNA‑клиент — для Windows, Linux, macOS, Android, iOS;
SD‑WAN — SLA‑управление, QoS, full‑mesh;
Ideco Center — единая консоль управления всей инфраструктурой.
Это не копия западной модели SASE, а её адаптация к российским реалиям: суверенная, гибридная, сертифицированная ФСТЭК.
Практические рекомендации: как начать путь к гибридной защите
Переход к конвергентной архитектуре NGFW + SASE — это не одномоментный проект, а поэтапная трансформация. Как отмечает Open Systems, оптимальный подход — фазированная конвергенция: начать с одного компонента и постепенно наращивать интеграцию. Вот пошаговый план для организации, стоящей в начале пути.
Шаг 1. Аудит текущей инфраструктуры
Прежде чем строить новую архитектуру, нужно понять текущую. Ответьте на ключевые вопросы:
Сколько сотрудников работают удалённо или в гибридном режиме?
Какие приложения находятся в облаке, какие — on‑premise?
Используется ли VPN? Какие проблемы с ним фиксируются?
Есть ли распределённая филиальная сеть?
Какие регуляторные требования применимы (152-ФЗ, 187-ФЗ, отраслевые стандарты)?
Шаг 2. Пилот ZTNA для удалённых сотрудников
Наиболее быстрый и заметный эффект — замена VPN на ZTNA для удалённых сотрудников. Это не требует перестройки всей сетевой инфраструктуры, но сразу повышает безопасность и улучшает пользовательский опыт. Начните с одной группы пользователей и одного набора приложений. Измерьте: скорость подключения, количество инцидентов, удовлетворённость пользователей.
Шаг 3. Централизация управления
Если у вас более одного NGFW (а у большинства организаций с филиалами это так), единый центр управления — следующий приоритет. Шаблонизация настроек, централизованный мониторинг, единообразные политики — всё это снижает вероятность ошибки конфигурации, которая является одной из главных причин инцидентов.
Шаг 4. SD‑WAN для филиальной сети
Если у организации есть филиалы с несколькими каналами связи, SD‑WAN даёт быстрый выигрыш: автоматическая балансировка, SLA‑управление, QoS для критического трафика. Это сетевой фундамент для будущей SASE‑архитектуры.
Шаг 5. Оценка TCO гибридной модели
Сравните совокупную стоимость владения: отдельный NGFW + отдельный VPN + отдельный SD‑WAN vs. интегрированная платформа. Учитывайте не только стоимость лицензий, но и: время на администрирование, количество консолей управления, скорость реагирования на инциденты, стоимость интеграции.
Шаг 6. Соответствие компплаенсу
Для российских организаций принципиально важно, чтобы архитектура безопасности изначально проектировалась с учётом требований регуляторов: данные обрабатываются на территории РФ, ПО находится в реестре отечественного и было сертифицировано ФСТЭК.
Заключение
Конвергенция NGFW и SASE — технологическая неизбежность, обусловленная трансформацией рабочей среды. Когда сотрудники распределены по городам и странам, приложения — между ДЦ и облаками, а AI‑агенты расширяют поверхность атаки, одного периметрового файрвола недостаточно.
Глобальный рынок движется к single‑vendor SASE — облачным платформам, объединяющим SD‑WAN, ZTNA, SWG, CASB и FWaaS. Россия идёт своим путём: регуляторный ландшафт, требования к суверенитету данных и структура облачного рынка делают чисто облачную модель недостаточной. Ответ — гибридная архитектура: on‑premise NGFW + облачное развёртывание + ZTNA + SD‑WAN + единый центр управления.
Ideco выстраивает платформу, которая соответствует этой модели. Роадмап 2026 года включает все ключевые компоненты: Ideco Center для централизованного управления, Ideco Client с ZTNA для безопасного доступа, SD‑WAN с SLA‑профилями и QoS, развёртывание в VK Cloud и Яндекс.Облаке, Active‑Active кластеризацию. Это не проект «на будущее» — это план действий на текущий год.
Для ИТ‑директоров и ИБ‑архитекторов 2026 год — время осознанного выбора архитектуры безопасности. Не «какой NGFW купить», а «какую платформу строить». Гибридная модель, объединяющая лучшее от on‑premise и cloud, — наиболее прагматичный ответ для российских распределённых команд.