Дмитрий Хомутов, Ideco: Требования к NGFW сместились с формального комплаенса к реальной безопасности

Дмитрий Хомутов: Рынок изменился радикально. До 2022 года российские решения присутствовали, но занимали нишевые сегменты — в основном SMB, отдельные зоны КИИ, инфраструктуру с повышенными требованиями к сертификации. В Enterprise-сегменте доминировали Fortinet, Check Point, Cisco, Palo Alto, в совокупности занимавшие более 75% рынка.

После ухода западных игроков началась первая волна импортозамещения: быстрые решения, минимальные тесты, стремление «закрыть риск». Российские продукты тогда объективно уступали — прежде всего по производительности и сетевой функциональности. Работа с сотнями тысяч пользователей, десятками тысяч правил и высокоскоростным трафиком до сотен гигабит — это то, чего российские NGFW на тот момент обеспечить не могли.

Поэтому в 2023-2024 годах импортозамещение замедлилось: крупные компании мигрировали только в рамках кастомных проектов. Однако за это время российские вендоры резко продвинулись: появились продукты Enterprise-класса, много новых игроков. У нас, например, идет системная работа: с 2022 по 2025 год мы практически полностью переработали технологическую основу продукта, чтобы удовлетворить потребности именно Enterprise-сегмента.

В 2026-2027 году ожидается вторая волна импортозамещения. Она будет более массовой и осознанной. Будет происходить в том числе «замещение импортозамещения»: часть решений, в спешке закупленных в 2022 году, не продемонстрировали нужной производительности и надежности. Сейчас им будут искать замену — благо, теперь есть, из чего выбирать.

Дмитрий Хомутов: Все три фактора действуют одновременно и усиливают друг друга.

Импортозамещение вышло за рамки простой замены ушедших вендоров. NGFW — это центральный элемент корпоративной безопасности. Грубо говоря, если откажет SIEM, будет неприятно, но не критично. При отказе NGFW могут быть нарушены коммуникации сотрудников с заказчиками, доступ к производственным и вспомогательным системам — работа компании парализуется: останавливаются производство и продажи, бизнес теряет деньги. Если решение не гарантирует непрерывность бизнеса, его надо менять.

Рост числа и изощренности атак. Злоумышленники не стоят на месте, используя в том числе ИИ для организации атак и обхода традиционных защит. Количество громких инцидентов подтверждает, что статической защиты уже недостаточно.

Требования регуляторов становятся жестче. И 250-ФЗ, и новые правила категорирования КИИ, и общая логика жесткого контроля делают использование зарубежных NGFW в критичных сегментах практически невозможным.

Добавлю четвертый, технико-экономический драйвер: устаревание парка оборудования. Средний жизненный цикл оборудования — около 5 лет. Решения закупленные в 2020-х, подходят к этому рубежу. Поддерживать такие парки становится все сложнее, а закупать новые партии через третьи страны — дорого, рискованно и точно не на перспективу.

Дмитрий Хомутов: NGFW — это центральное звено корпоративной безопасности, которое не может быть статичным. Инновации жизненно необходимы, потому что угрозы постоянно эволюционируют. Нельзя просто скопировать Fortinet образца 2022 года, этого уже недостаточно. Продукт должен защищать от атак 2026 года.

Основных векторов развития я бы выделил три:

Интеграция искусственного интеллекта для противодействия быстро меняющимся угрозам. Классический пример — защита на уровне DNS. Злоумышленники используют алгоритмическую генерацию доменных имен (DGA), выкуп старых доменов с «хорошей историей» для обхода статических списков, DNS-туннелирование. Они создают новые домены мгновенно, бороться с ними нужно в режиме реального времени, и без ИИ сделать это практически невозможно. Мы интегрировали в NGFW облачный модуль DNS Security на базе ИИ, который обнаруживает и блокирует такие аномалии в первые минуты. Мы пока единственный российский вендор, кто реализовал такой подход.

Адаптация к гибридным ИТ-ландшафтам. Западный рынок массово ушел в облака, что породило спрос на облачные и гибридные NGFW. В России доля облаков меньше по ряду причин: требования регуляторов, предпочтение собственных дата-центров, меньшая доля транснациональных корпораций, которым критична глобальная распределенность. Наш рынок требует мощных физических и виртуальных решений для локальных ЦОД. При этом мы закладываем архитектуру Hybrid Mesh в нашу дорожную карту, готовясь к будущему, где потребуется единое управление политиками для физических, виртуальных и облачных сред.

Глубокая интеграция с отечественным софтом. Клиенты переходят не только на российские средства защиты, но и на отечественные ОС (Astra Linux, Ред ОС), СУБД, прикладное ПО. Западные вендоры не будут адаптироваться под эту экосистему, а нам это необходимо.

Дмитрий Хомутов: Раньше отечественные решения часто покупали «для галочки» — чтобы закрыть требования регуляторов в отдельных сегментах. Сейчас заказчикам нужно защищать самые критичные активы: дата-центры, крупные офисы, публичные сервисы. Требования к NGFW сместились с формального комплаенса к реальной безопасности. Клиенты понимают, что взлом — это риск потери данных, репутации и денег. Поэтому требования к надежности, масштабируемости, способности обеспечить реальную безопасность, а не просто соответствие законодательству, — все эти требования постоянно растут.

Дмитрий Хомутов: Требования растут кратно. Если раньше для большинства компаний хватало десятков гигабит, то сегодня крупные корпоративные сети и дата-центры выходят на уровень сотен гигабит в секунду, и NGFW должен выдерживать такую нагрузку без деградации.

Критичными становятся не просто скорость прохождения трафика, а способность сохранять полноценный уровень безопасности под нагрузкой:

• обработка до миллиона TCP-сессий в секунду;
• стабильная работа DPI, SSL-инспекции, IPS, антивируса и других функций на многоядерных системах;
• поддержка каталогов в сотни тысяч пользователей;
• корректная работа с десятками и даже сотнями тысяч правил без увеличения задержек.

Фактически NGFW сегодня все чаще работает на уровне ядра сети, а не на периферии — и это предъявляет совершенно другие требования к производительности.

Дмитрий Хомутов: Интеграции — одна из самых сложных частей внедрения. NGFW — это не отдельная коробка, а элемент в центре ИТ-инфраструктуры. Раньше крупные заказчики жили в экосистемах одного вендора — например, Cisco, где все было заведомо интегрировано. В России же рынок фрагментирован, монстров уровня Cisco у нас нет и, думаю, не будет из-за объема рынка.

Поэтому мы развиваем широкую матрицу интеграций. В компании есть отдельный продакт-менеджер, отвечающий за взаимодействие с другими ИБ-решениями. Большая часть обращений в техподдержку — вопросы именно на стыке систем: авторизация, интеграция с каталогами пользователей и их групп, маршрутизация, SIEM-события.

Дмитрий Хомутов: Основные сложности обычно связаны с тремя вещами. Во-первых, сам выбор решения стал намного сложнее — NGFW невозможно оценить «по буклету», и крупные компании даже создают собственные лаборатории тестирования, хоть это и не их профильная деятельность. Во-вторых, непросто проходит интеграция в существующую инфраструктуру: переход на российский NGFW часто совпадает с обновлением сетевого оборудования, и тогда всплывают неожиданные нюансы совместимости. В-третьих, перенос настроек и правил: у больших компаний десятки тысяч правил и сотни тысяч пользователей, переписывать настройки вручную просто нереально.

Мы предлагаем комплексный путь для минимизации рисков:

• Инструменты миграции. У нас есть скрипты для автоматического переноса тысяч правил и конфигураций с оборудования зарубежных вендоров. Это экономит недели ручной работы.
• Пилотный проект в реальной среде. Мы настаиваем на этом. Синтетические тесты не заменяют проверки на реальном профиле трафика. Наше решение поддерживает режим L2-моста (Virtual Wire), что позволяет встроить его в сеть без изменения IP-адресации и маршрутизации — идеально для пилота.
• «Бесшовный» переход от пилота к продакшену. Мы помогаем заказчику так настроить систему на этапе тестирования, чтобы после покупки можно было сразу перевести ее в промышленную эксплуатацию с теми же настройками.
• Проактивный анализ безопасности. Во время пилота мы советуем внимательно изучать отчеты NGFW. Нередко при переходе с устаревших или необновляющихся систем удается выявить уже существующие компрометации или аномальную активность внутри сети.

Дмитрий Хомутов: Безусловно. Во-первых, переход с дорогостоящих западных решений или их дорогой поддержки через третьи страны на современный отечественный NGFW дает прямую финансовую выгоду.

Во-вторых, безопасность — это управление рисками, а риски измеряются в деньгах. Простои обходятся компании несопоставимо дороже, чем внедрение средств защиты. Есть показательный кейс: крупная сеть магазинов одежды в Екатеринбурге потеряла около 20 млн рублей из-за шифровальщика, который парализовал работу на несколько недель. Решение уровня NGFW стоило бы им около миллиона рублей. Это наглядный пример, как затраты на безопасность могут многократно окупиться благодаря предотвращению убытков.

Дмитрий Хомутов: Ideco NGFW Novum — это, действительно, принципиально новое решение. За последние три года мы пришли к уровню, который раньше был доступен только у ведущих западных вендоров. На создание новой архитектуры было затрачено около 2 млн часов работы и 2 млрд рублей инвестиций.

Ideco NGFW Novum — это:

1. Новый сетевой стек на технологиях DPDK и VPP. Это обеспечивает прямой доступ к сетевым картам, минимальные задержки и высокоэффективную пакетную обработку на многоядерных системах. Производительность достигает 200 Гбит/с с поддержкой 1 млн соединений в секунду, что соответствует требованиям самых нагруженных дата-центров.
2. Уникальные функции корпоративного уровня, включая возможность создать на одном физическом устройстве несколько полностью изолированных виртуальных NGFW с разделением ресурсов, DNS Security на базе ИИ для борьбы с продвинутыми угрозами через DNS, собственный компилируемый фаервол, обеспечивающий стабильную обработку трафика даже для 500 000 пользователей и наличии 100 000 правил.
3. Гибкость внедрения. Режим L2-моста позволяет встроиться в существующую сеть без ее перестройки, что критично для быстрого и безопасного пилотирования. Централизованная консоль Ideco Center позволяет управлять до 10 000 устройств, а открытая архитектура обеспечивает глубокую интеграцию с любой корпоративной ИТ-инфраструктурой.

Сегодня 71% наших заказчиков — это крупный бизнес и госструктуры. Ideco NGFW Novum создан именно для них: он обеспечивает защиту сложной инфраструктуры, выполняя требования к высочайшей производительности, надежности и бесшовной интеграции.

Дмитрий Хомутов: Обязательно проводите пилот в реальной инфраструктуре. Никакие бенчмарки не заменят тестирование на своем трафике. Проверяйте качество реализации ключевых функций — их гибкость настройки и возможность использования для реализации ваших сценариев.

Оценивайте ИБ-возможности, а не только сетевые функции. Устройство может быстро пропускать пакеты, но плохо детектировать современные угрозы. При этом важно, чтобы ИТ тоже могло гибко интегрировать продукт в вашу сетевую инфраструктуру.

Внимательно изучайте возможности интеграции и экосистему других продуктов/вендоров, который может поддержать решение. Убедитесь, что NGFW легко интегрируется с вашей SIEM, системами авторизации, отечественным ПО.

Проверьте, насколько вендор открыт для совместной доработки под ваши требования. Зрелость сервиса и техподдержки не менее важна, чем «железные» характеристики.

Дмитрий Хомутов: Главный тренд в ИБ — массовое применение ИИ. Злоумышленники используют его уже сейчас: атаки генерируются за минуты, меняются на лету. Поэтому рынку нужны системы, способные на мгновенный автоматический ответ. При этом к продуктам класса NGFW будут предъявляться требования по надежности и стабильности — они должны быть зрелыми.