ГК «Солар» добавила в линейку NGFW два новых устройства. Теперь она полностью сформирована и охватывает полный набор моделей для всех целевых сегментов российского рынка. Как в них отражены тренды развития глобального рынка NGFW и что ждать в будущем? Рассмотрим это на примере позиции «Солар».
- Введение
- «Аномалия» среди младших продуктов в линейке Solar NGFW
- Новые технологии NGFW на российском рынке
- Развитие технологий NGFW на глобальном рынке
- Искусственный интеллект, машинное обучение и NGFW
- NGFW для облака (cloud-native)
- Частное облако по-русски vs cloud-native NGFW
- Выводы
Введение
ГК «Солар» расширила свой модельный ряд устройств сетевой безопасности класса «межсетевой экран нового поколения» (NGFW), добавив две новые модели в младшем сегменте: S и M. Согласно спецификации, устройства обеспечивают производительность (в режиме межсетевого экрана) на уровне 10 и 20 Гбит/с, соответственно. По статистике, такой производительности достаточно для обеспечения безопасности сетевого трафика в небольших предприятиях, филиалах более крупных компаний, а также при использовании в составе средств защиты территориальных распределенных корпоративных сетей (WAN).
Самая младшая модель Solar NGFW HARD S выстроена на базе односокетной системной платы, в которой установлен процессор Intel Atom C3958. Более старшая модель Solar NGFW HARD M использует также односокетную системную плату с процессором Intel Xeon Silver 4316.
В обоих конфигурациях представлены порты 1 Гбит/с (RJ-45) и 10 Гбит/с (SFP+) в количестве 6 / 4 и 8 / 6 штук, соответственно. Изделия изготавливаются как программно-аппаратные комплексы (ПАК) в виде одноюнитовых серверов для монтажа в стандартную 19-дюймовую стойку.
Рисунок 1. Типовая младшая модель Solar NGFW
«Мы увидели ключевую тенденцию: клиенты нуждаются в защите геораспределенной инфраструктуры, особенно филиалов по всей России, вне зависимости от их масштаба. Поэтому на базе новой линейки даже небольшой бизнес может позволить себе защиту уровня Enterprise, а корпорации — унифицированное решение для всей сети», — рассказал Вартан Минасян, директор Центра технологий кибербезопасности ГК «Солар».
Новые продукты дополнили более производительные модели Solar NGFW — они были выпущены год назад. Это модели L 2000, XL 4000 и XXL 10000, имеющие производительность до 30, 60 и 100 Гбит/с, соответственно. Названные изделия предназначены для крупных заказчиков — от больших организаций и филиалов корпораций до уровня промышленных предприятий и ЦОДов.
Первой к старшей линейке относится односокетная модель HARD L 2000. Она построена на базе процессора Intel Xeon Gold 5318Y. Две другие старшие модели, XL 4000 и XXL 10000, выстроены на базе двухсокетной системной платы с двумя процессорами Intel Xeon Silver 4316 и Intel Xeon Gold 5318Y, соответственно.
Рисунок 2. Полная продуктовая линейка моделей Solar NGFW
«Аномалия» среди младших продуктов в линейке Solar NGFW
Как отметил Вартан Минасян, новые модели младшей серии предназначены компаниям, у которых небольшая нагрузка на сеть, например, около 10–20 Гбит/с. Поэтому решения NGFW с производительностью 100 Гбит/с для них избыточны. Их сетевая нагрузка существенно ниже, чем на инфраструктуру головных офисов, поэтому им больше подойдет именно новая модель.
Выгода состоит также в том, что проведя модернизацию в головном офисе с установкой старшей модели Solar NGFW, заказчики могут теперь выбрать похожую модель NGFW HARD M для своих филиалов. Они могут убедиться, что её производительности хватит для новых точек установки.
Однако самая младшая модель Solar NGFW HARD S выглядит немного «аномально» в этой линейке. Она оснащена «экономным» процессором Intel Atom C3958. Он относится к другому классу, чем Xeon Silver и Gold. Можно объяснить, конечно, тем, что его цена в 2–3 раза ниже старших моделей, но все-таки этот выбор может вызвать сомнения.
На что мы обратили внимание? Хотя Atom C3958 относится к серверному сегменту, но этот процессор был выпущен в III кв. 2017 года. Мы помним, что в Intel принят за стандарт 7-летний цикл развития прошивки. Это подтверждают и данные в официальной спецификации: выпуск обновлений завершился 30 июня 2025 г., все получили соответствующее уведомление.
Есть и другая особенность процессоров типа Intel Atom. Архитектура этой серии не оптимизирована для поддержки многопоточных вычислений. На этих операциях будет возникать значительная просадка по производительности по сравнению с Xeon. «Вишенкой» является также существенное снижение теплового пакета процессора (TDP): для Atom C3958 она составляет «до 31 Вт», тогда как для Xeon Silver 4316 — «до 150 Вт».
Вартан Минасян дал следующее подробное разъяснение их выбора: в отмеченном сегменте процессор С3958 — это единственное решение с 16 ядрами, альтернативы ему нет. Действительно, в линейке процессоров начального уровня с микроархитектурой Goldmont (семейство 14-нм моделей Denverton) модель Atom С3958 занимает последнюю позицию, хотя и была выпущена в 2017 году.
«Сегмент Atom C3000 предназначался для встроенных решений, рассчитанных на эксплуатацию в течении минимум 10 лет. Для этих процессоров даже сейчас нет даты окончания жизненного цикла (End-of-Life)», — добавил Вартан Минасян.
Внесем ясность и в эксплуатационные температуры процессора. Она ограничена «серверным» уровнем (83 °С), а вовсе не прикладным (для встраиваемых решений). Кстати, максимальный нагрев Xeon Silver 4316 ограничен тем же температурным пределом, то есть компоновка сервера не требует переработки (что подтверждает целесообразность замены).
Остался единственный «сдерживающий» признак — ограничение Atom на многопоточные вычисления. В архитектуре Atom каждому ядру может назначаться только один поток обработки (thread). По всей видимости, при разработке ПО для Solar NGFW, компания провела соответствующую оптимизацию. Можно предположить, что при тестовых проверках резкого снижения производительности для Atom-установки не было выявлено.
Окончательные сомнения в выборе Atom развеял следующий комментарий «Солара»: «Срок поддержки “30 июня 2025 года” означает не окончание технической поддержки процессора (в том числе контроля за его безопасностью), а окончание внесения изменений в его прошивку».
Отметим также, что данный процессор активно устанавливается в решениях NGFW других российских вендоров, разработка которых велась всего лишь полтора года назад. Поэтому возможность выбора Atom для NGFW мы оценили как «российское ноу-хау».
Рисунок 3. Линейка процессоров Intel (микроархитектура Goldmont) по данным из «Википедии»
Новые технологии NGFW на российском рынке
Итак, линейка Solar NGFW сформирована. Теперь по ней можно оценить, как российский вендор видит спрос на NGFW на отечественном рынке, какие модели там востребованы.
Вопросы развития рынка NGFW в России находятся в центре внимания уже несколько лет. Уход западных вендоров NGFW из России (кроме Check Point), а также поставленная Правительством РФ задача импортозамещения успели сформировать за это время устойчивый спрос на новые, отечественные аналоги. Количество компаний, заявивших о разработке собственной версии NGFW, составило не менее 40 (по другим оценкам, более 60).
Можно по-разному относиться к возникшей ситуации, но ее абсурдность очевидна. Но для нее есть понятное объяснение: даже в 2024 году многие российские заказчики требовали от разработчиков прежде всего «самые простые решения». В компаниях не особенно думали о «внедрении передовых технологий и полном покрытии потенциальных киберугроз». Главное требование — это «соответствие регуляторным требованиям / наличие пройденной сертификации».
По оценкам «Солара», в 2025 году ситуация на российском рынке NGFW значительно меняется. Простые кибератаки сменились более сложными, злоумышленники стремятся не только продемонстрировать атакующую активность, но и хотят «реально пробить периметр» и «нанести вред сетевой инфраструктуре компаний».
По оценкам Вартана Минасяна, эти изменения в понимании роли NGFW уже проявляются на рынке. Заодно он оценил активных участников. Среди своих конкурентов «Солар» видит в первую очередь разработки UserGate и «Кода Безопасности», а также отмечает нарастающую долю NGFW от Positive Technologies.
Где остальные вендоры, занимающиеся разработкой NGFW? Остальные активные игроки на российском рынке NGFW скорей всего работают прежде всего со своими традиционными заказчиками, в ранее занятых клиентских нишах. Поэтому «Солар» может и не замечать их присутствия.
«Солар» также оценил потенциал участия вендоров в разработке NGFW. По его мнению, сдерживающее влияние оказывают прежде всего необходимость крупных финансовых инвестиций. Для создания полноценного современного решения класса NGFW требуется вложить в разработку около 1 млрд руб., считают в «Соларе».
Еще один сдерживающий фактор, который будет выталкивать с рынка небольших вендоров, — это рост требований со стороны заказчиков. Им становится уже недостаточно только соответствия регуляторным требованиям, заказчики требуют совместимость с высокопроизводительной сетевой инфраструктурой (скорости более 100 Гбит/с), предъявляют повышенные требования к надежности продуктов.
Дополнительные требования — это поддержка принципов безопасной разработки, а также готовность пройти сертификационный процесс у регулятора. Заказчики обращают внимание теперь и на это.
Своим конкурентным преимуществом в решениях NGFW компания «Солар» называет собственную разработку сигнатур. Являясь технологическим партнером «Ростелекома», компания имеет доступ к магистральным телеком-каналам страны. Очевидно, что большинство сетевых кибератак также проходят по этим каналам. Это позволяет «Солару» не только заниматься обеспечением безопасности магистральной сети и «последней мили», но и быть одним из первых, кто получает трафик и может анализировать его с целью подготовки сигнатур атак. Получение сигнатур другими вендорами NGFW чаще идет через внешних поставщиков.
Рисунок 4. Старшая модель Solar NGFW
Развитие технологий NGFW на глобальном рынке
Отойдет от специфики российского рынка и рассмотрим глобальный рынок NGFW — ведь он также продолжает развиваться. Его тренды развития в 2025 году отражены в докладе Gartner, где названы следующие главные движущие силы его развития:
- достижения в области искусственного интеллекта,
- развитие облачных вычислений,
- рост глубины понимания новых векторов кибератак.
Gartner особо отмечает: от компаний сейчас требуется не просто развитие новых направлений, а серьезное переосмысление применяемых стратегий безопасности и проведение тщательных исследований по изучению последствий для компаний в случае успешных кибератак.
Обращается также внимание на то, что принципы противодействия угрозам сильно зависят от размера компаний.
Искусственный интеллект, машинное обучение и NGFW
По оценкам аналитиков, внедрение ИИ и машинного обучения способно проявиться в существенном росте функционального набора, реализуемого на стороне NGFW. Они отмечают, что существующий подход в обеспечении безопасности через использование подготовленных сигнатур для NGFW будет дополнен новыми функциями защиты, где будут применяться ИИ и МО.
Они позволят выявлять признаки кибератак путем прямого анализа сетевого трафика в реальном времени и непрерывного сравнения его с шаблонами безопасного сетевого взаимодействия. Эти шаблоны будут разрабатываться заранее индивидуально для каждой компании. ИИ и МО позволят выявлять аномалии в трафике и обнаруживать потенциальные угрозы, а сетевые политики в NGFW будут перестраиваться для предотвращения кибератаки.
Новый проактивный подход позволит значительно сократить время реагирования и количество ложноположительных (false positive) срабатываний. Еще один важный эффект от внедрения ИИ и МО — это обнаружение сложных уязвимостей «нулевого дня» без заранее подготовленных сигнатур.
Применение ИИ и МО в России идет по схожему пути, отметил Вартан Минасян. Например, эвристические технологии машинного обучения уже давно используются в «Соларе» для анализа записанного трафика и выявления сигнатур, которые позволяют правильно отразить момент начала атаки. Сигнатуры рассматриваются не как признак какого-то отдельного действия злоумышленника, а как совокупность операций, которые злоумышленник предпринимает для взлома сетевой инфраструктуры компании. Построение таких сигнатур требует анализа миллиона событий. Поэтому без ИИ потребуется слишком много усилий, если вести обработку вручную.
В то же время эксперт «Солара» отметил: «Мы осознаем, что злоумышленники также пользуются ИИ на своей стороне. Они стремятся подбирать такие варианты атаки, чтобы затруднить их автоматическое распознавание. Перенастройка политик безопасности в режиме реального времени с использованием ИИ — это вектор наших текущих исследований».
NGFW для облака (cloud-native)
Принципиальным отличием западного рынка от российского является значительный переход компаний к облачной инфраструктуре. Это автоматически меняет концепцию NGFW. Существенным отличием становится то, что развитие NGFW стремится к унификации применяемых средств защиты в облаке и быстрое распространение предпринимаемых шагов по другим клиентам, которые еще не оказались под ударом новой волны кибератак.
В то же время в российской модели сохраняется склонность компаний к внутренним (in-house) решениям. При таком подходе многое возлагается на кастомизированную модель защиты. Преимущество — это затрудняет злоумышленникам реализацию их атак, потому что требует предварительного тщательного изучения жертвы, тогда как в облаке «все заранее в целом понятно».
В то же время у развития облачных NGFW есть свои преимущества. Они нацелены на наращивание масштабируемости, предлагают гибкие возможности для настройки, отличаются более высокой экономичностью по сравнению с затратами на локальные решения. Но это повышает также требования к провайдеру облачной среды. Перенос инфраструктуры в публичное облако предусматривает, что поставщик услуг облачного NGFW должен обеспечить поддержку лучшим отраслевым практикам безопасности, а также должен обеспечить соблюдение законов о защите данных (для западных стран это GDPR или CCPA).
В результате переориентации на облако развиваются также отношения между организацией и поставщиком облачных услуг. Между ними возникает четкое распределение ответственности и обязанностей по обеспечению безопасности, возникают соглашения об уровне обслуживания в отношении защиты безопасности. Архитектура безопасности NGFW интегрируется с другими облачными службами, что играет важное значение для надежного соответствия принятому уровню безопасности.
Вартан Минасян, директор Центра технологий кибербезопасности ГК «Солар»
У крупных российских заказчиков совсем другой подход. Вопросами безопасности они занимаются самостоятельно (или привлекают внешний центр мониторинга). Как отметил Вартан Минасян, чаще всего российские заказчики используют инфраструктуру как сервис (IaaS).
«В ЦОДе арендуются стойки физических серверов (Bare Metal), на которых заказчики устанавливают собственную ИТ-инфраструктуру. Формально это — облачные вычисления, а по факту — вынос корпоративной инфраструктуры взамен внутреннего (in-house) размещения. Хотя заказчики строят распределенные высокопроизводительные сети хранения (SAN), но вся инфраструктура все равно остается под их полным контролем. Аренды виртуальных серверов нет».
Как это проецируется на облачные NGFW? По мнению Вартана Минасян, термин «cloud-native NGFW» сейчас неприменим к российскому рынку. Основной вектор выстраивания безопасности направлен в сторону того, чтобы добиться правильной сегментации сети, защиты периметра и активного использования актуальных сигнатур для правильных контрмер.
«В случае взлома каждая компания самостоятельно решает вопросы по ограничению доступа в сети, изоляции пораженных сегментов, предотвращению дальнейшего распространения действий злоумышленников. Российские NGFW предназначены для решения этих задач, а не для поддержки единых, скоординированных облачных решений».
Частное облако по-русски vs cloud-native NGFW
Gartner выделяет также среди инноваций NGFW в 2025 году развитие их интеграции с системами управления информацией и событиями (SIEM). Результатом должно стать более целостное представление командой центра мониторинга ИБ (SOC) динамики событий по всей сети. Это должно повысить качество реагирования на инциденты.
Сравнивая подходы «облачный in-house» и «cloud-native», можно отметить, что первый позволяет быстрей и эффективней адаптироваться к изменяющимся условиям. Но для этого каждой компании требуется иметь отлично подготовленную команду SOC. Поэтому можно ожидать, что в ближайшем будущем будет на подъеме создание виртуальных SOC.
Подход «cloud-native», со своей стороны, лучше масштабируется. Он позволяет более системно подходить к задачам безопасности. С развитием ИИ-технологий этот подход станет более эффективным и менее затратным, чем «облачный in-house». Кроме того, эксперты отмечают, что компании, использующие комбинацию из локальных и облачных ресурсов, могут также извлекать выгоду за счет бесшовной интеграции NGFW с облачными службами безопасности, такими как брокеры безопасности облачного доступа (CASB) и платформы защиты облачных рабочих нагрузок (CWPP). Эта опция также способствует повышению комплексной безопасности для корпоративной ИТ-инфраструктуры.
Назрела ли необходимость для перехода к технологиям «cloud-native» в России? Наверное, еще нет. Поэтому российские вендоры ориентируются прежде всего на спрос при развитии своих продуктов NGFW, а не на «тренды».
Более того, пока кибератаки требуют значительной доли «ручного участия» на стороне нападающих, оба подхода равноценны (с точки зрения организации эффективной защиты). Но с развитием ИИ-средств на стороне атакующих ситуация на рынке может серьезно поменяться.
Выводы
Основные российские вендоры NGFW завершают формирование своих линеек продуктов. Нынешний этап развития российского рынка NGFW можно назвать переходным. Решена главная задача — появились отечественные решения, позволяющие заместить продукты ушедших вендоров без потери достигнутого уровня безопасности.
Однако теперь наступает этап масштабирования. Большую значимость приобретают задачи правильного выбора направления развития корпоративных систем сетевой безопасности. Это сказывается и на развитие NGFW вендорами, которые оптимизируют их под тип применения.
В статье обозначены тренды на рынке NGFW на 2025 год. Эксперт группы компаний «Солар» высказал свое мнение о российском пути их развития.
