Главная » Технологии

Куда развивается рынок NGFW

Технологии
На чтение 12 мин Просмотров 368 Опубликовано

Центр стратегических разработок выпустил первое исследование российского рынка NGFW, объем рынка которого составил 52,2 миллиарда рублей с годовым ростом в 30,1%, что на 18% выше мирового аналога. Кибердом 14 апреля будет проводить «NGFW-день«, где представители разных отраслей обсудят решения главных вопросов развития российского рынка NGFW, технологические вызовы, особенности запросов заказчиков и пути создания полноценной экосистемы решений сетевой безопасности. При этом специально для этой конференции АНО «Цифровая экономика» представит эксклюзивный каталог российских NGFW-решений, основным вопросом по которому является: «А сколько именно игроков рынка попало в этот каталог — больше 40 или меньше?» 🙂

Я решил тоже не стоять в стороне от столь активного освещения темы NGFW и поделиться своим видением того, как развивается рынок этих средств защиты. Но конкурировать с ЦСР и Кибердомом я не готов, поэтому обращу свой взор за государственную границу Российской Федерации с целью ответа на вопрос, вынесенный в заголовок этой заметки.

Тем более, что по данным ЦСР 76,8% отечественных компаний продолжают использовать зарубежные решения; хотя их доля в новых продажах снизилась с 72% в 2021 году до 31,6% в 2024 году.

Содержание
  1. Основные стратегические направления
  2. Машинное обучение в работе NGFW
  3. Hybrid Mesh Firewall
  4. Развитие Hybrid Mesh Firewall в формате Hypershield
  5. Интеграция МСЭ в сетевое оборудование

Основные стратегические направления

Итак, чем же живет мировой рынок NGFW? Ниже я попробовал перечислить основные стратегические направления для NGFW:

  1. Глубокая интеграция с облаками
    • Выпуск виртуальных и контейнерных версий NGFW для применения в публичных и частных облаках.
    • Развитие модели FWaaS (Firewall-as-a-Service) и более широкое использование SASE/SSE-платформ.
    • Поддержка гибридных сценариев: единая политика и сквозное управление для локальных, облачных и филиальных развертываний NGFW.
  2. Использование машинного обучения, в том числе и для обнаружения и предотвращения угроз
    • Внедрение моделей машинного обучения для проактивной защиты от zero-day, фишинга и продвинутых атак.
    • Автоматизированное управление политиками безопасности на основе поведенческого анализа трафика и пользователей.
    • Выявление аномалий в зашифрованном трафике без существенного снижения производительности и расшифрования/дешифрования трафика.
  3. Интеграция с другими средствами безопасности
    • Тесная связка NGFW с XDR, SOAR, SIEM, CASB, SWG, EDR, антивирусами и песочницами и другими сервисами для комплексного мониторинга угроз.
    • Интеграция в архитектуру Zero Trust (ZTNA) – от проверки устройств и пользователей до микросегментации сети.
    • Встроенные функции SD-WAN, WAF (web-application firewall) и DLP, позволяющие заменить несколько отдельных продуктов одним NGFW (хотя это уже больше NGFW NG или даже целая Network Security Platform).
  4. Оптимизация производительности и масштабируемости
    • Аппаратное ускорение (ASIC, FPGA, SPU) для эффективного анализа зашифрованного трафика без потери пропускной способности.
    • Возможность «гипермасштабирования» (clustering/hyperscale) для дата-центров и операторских сетей.
    • Контейнерные NGFW для микросервисных архитектур (Kubernetes), где требуется быстрая и гибкая фильтрация трафика.
  5. Особый фокус на IoT/OT-сегменты
    • Глубокая инспекция промышленных протоколов и поведенческий анализ для оборудования АСУ ТП.
    • Микросегментация в сетях IIoT, защита специализированных устройств и датчиков.
    • Соответствие отраслевым стандартам (например, IEC 62443 и др.) и повышенная надежность устройств в части помехо-, взрыво-, влаго- и пылезащищенности.
  6. Снижение сложности управления и автоматизация
    • Единая платформа (или облачный портал) для конфигурации, мониторинга и обновлений сотен NGFW
    • Полноценные API и возможности DevOps-интеграции (Infrastructure-as-Code), чтобы централизованно управлять политиками.
    • Автоматизированные сценарии реагирования на инциденты (скрипты, playbook, интеграция с SOAR).

Эти данные получены в результате анализа нескольких десятков именитых и не очень известных западных и восточных вендоров средств сетевой безопасности, но названия продуктов и имена компаний не указаны специально, чтобы не отвлекать от взгляда на сами тренды. При этом по каждому пункту я делал более подробное описание, описывающее его преимущества с технической, организационной и финансовой точек зрения. Но эта информация интересна в первую очередь вендорам NGFW, которые, по идее, и сами должны знать, как развивается рынок, на котором они хотят конкурировать с иностранцами.

Машинное обучение в работе NGFW

Отдельно хочется остановиться на нескольких функциях, которые не так очевидны применительно к межсетевым экранам. В первую очередь, речь идет о применении машинного обучения, которое в NGFW используется для динамической адаптации правил и политик фильтрации в зависимости от реального трафика, контекста и выявленных угроз. Если кратко, то суть этого механизма сводится к реализации следующих задач:

  1. Анализ реального трафика и поведения. Машинное обучение «обучается» на потоках данных: какие приложения чаще всего запускаются, к каким ресурсам обращаются пользователи, какие соединения считаются обычными, а какие потенциально вредоносными. На основе ML-моделей NGFW определяет, какие шаблоны в трафике являются «нормальными», а какие — нет. Раньше это часто делалось вручную, после периода обучения. Сегодня эта задача может быть легко автоматизировано, что уменьшает время внедрения решения в сетевую инфраструктуру.
  2. Автоматическая корректировка правил. Традиционно администратор вручную прописывает или корректирует правила (какой порт открыть, какие IP заблокировать, какие приложения разрешить и т. д.). При использовании ML NGFW самостоятельно предлагает или даже автоматически вносит изменения в правила — например, ограничивает доступ к редко используемому сервису, если видит всплеск аномальной активности, или добавляет новое сигнатурное правило, когда система обнаруживает неизвестный шаблон атаки.
  3. Контекстный подход к политике. ML-модель может учитывать не только отдельные параметры (IP-адрес, порт, протокол), но и более глубокий контекст: какой пользователь запускает соединение, в какой геолокации он находится, к каким данным пытается получить доступ, какие типичные приложения он использует обычно и т. д. Таким образом, политика становится гибкой и может меняться в зависимости от множества факторов, а не только от статических правил. Раньше такой функционал обычно реализовывался уже на уровне SIEM, но теперь его можно спустить на уровень ниже, на сами средства защиты, что позволяет более эффективно использовать средства мониторинга, а также не так расточительно относиться к бюджетам на ИБ.
  4. Проактивное реагирование на неизвестные угрозы. Одно из ключевых преимуществ ML — умение замечать аномалии, которые не попадают под известные сигнатуры. Например, если машина в внутренней сети начинает рассылать необычно большой объем трафика в нестандартное время, система способна временно ограничить или заблокировать такие соединения, еще до того как появятся классические сигнатуры для этой атаки. Да, это функционал систем обнаружения вторжений, но они же часть современных NGFW…
  5. Снижение ложных срабатываний и автоматизированный тюнинг. ML-модель, обучаясь на реальном трафике, может «перекалибровывать» политики, минимизируя ложные срабатывания. Например, если какой-то вид трафика формально подпадает под потенциально опасную категорию, но на практике много раз проверялся и не нес угрозы, система скорректирует внутренние «весы» в пользу пропуска этого трафика.
  6. Централизованное управление. При наличии десятков–сотен NGFW в разных филиалах (или в облаке) ML-движок позволяет централизованно собирать данные и синхронизировать результаты. Получается, если на одном узле зафиксирована новая вредоносная активность, политики всех других узлов будут автоматически подстроены под эту новую информацию.

Таким образом, суть в том, что ML позволяет NGFW максимально «тонко» и гибко реагировать на изменения в сетевой среде, предлагая или автоматически внедряя новые правила на основе фактической получаемой телеметрии и анализа угроз. Это упрощает работу администраторов и обеспечивает более быструю и эффективную защиту, особенно в условиях постоянно меняющихся шаблонов атак.

Можно было бы сказать, что многие NGFW и так умели все вышеописанное, но задача ML — автоматизировать все эти задачи, ускоряя процесс внедрения, снижая зависимость от человеческого фактора и делая использования решений по сетевой безопасности более эффективным.

Hybrid Mesh Firewall

Hybrid Mesh Firewall — это концепция, описывающая модель, в которой организации развертывают и централизованно управляют несколькими точками фильтрации (NGFW) в гибридных средах: локальных ЦОД, различных публичных/частных облаках, контейнерных и виртуальных инфраструктурах, на периферийных узлах (edge), в филиалах и т. д. При этом все эти NGFW, формально расположенные в разных местах, работают согласованно как единая «сеть» (mesh), обладая единым управлением политиками и обменом телеметрией.

Важность такого подхода выросла вследствие усложнения сетевой инфраструктуры и одновременного использования заказчиками нескольких облачных платформ. К ключевым преимуществам Hybrid Mesh Firewall можно отнести:

  1. Единое управление политиками
    • В традиционной модели каждая площадка имела отдельный межсетевой экран с самостоятельной конфигурацией, что приводило к расхождению политик и высокому риску ошибок.
    • «Сетевой» или «mesh» подход предполагает централизованную консоль (или облачный портал) для создания правил, которые автоматически распространяются на все узлы (физические, виртуальные, облачные). Это повышает согласованность настроек и упрощает аудит.
  2. Единая аналитика и корреляция событий
    • Все NGFW в различных сегментах сети отправляют логи и телеметрию в общий аналитический сервис (SIEM, XDR-платформу, облачную панель и т.д.).
    • Это позволяет в одном месте видеть сетевые потоки и события безопасности, выявлять аномалии, блокировать угрозы на ранних стадиях, и оперативно обновлять правила, затрагивающие все узлы.
  3. Гибридная модель развертывания
    • Термин «Hybrid» здесь подчеркивает и, наверное, это самое главное отличие от просто централизованно управляемых МСЭ, что решение работает и на физических устройствах (например, в центральном офисе или ЦОД), и в публичных облаках (AWS, Azure, GCP и т. д.), и в частных виртуальных средах, и даже на контейнерных платформах (Kubernetes).
    • Плюс возможно подключение офисных филиальных устройств (Branch NGFW, SD-WAN-шлюзы) или мобильных пользователей через модель FW-as-a-Service (FWaaS).
  4. Горизонтальное взаимодействие между МСЭ
    • В «mesh-сетке» межсетевые экраны не только подчиняются одному «центру», но и могут обмениваться друг с другом служебной информацией. Например, если в одном сегменте сети замечена новая угроза, она автоматически блокируется и в остальных.
    • Такой обмен телеметрией позволяет сократить «окно уязвимости», когда один узел уже узнает об атаке, а остальные — еще нет.
  5. Упрощенное масштабирование и отказоустойчивость
    • При необходимости можно добавлять новые узлы (виртуальный или физический NGFW) — и он автоматически подключается к общей «сети», наследуя существующие политики.
    • При выходе из строя одной точки (устройства/виртуального инстанса) остальные продолжают фильтровать трафик согласно тем же правилам, обеспечивая непрерывность защиты.
  6. Примеры реализации
    • Концепцию Hybrid Mesh Firewall все чаще упоминают крупные вендоры, такие как Check Point, где политика может единообразно применяться к локальным шлюзам и CloudGuard в облаке.
    • У Fortinet «mesh» реализуется в рамках Security Fabric: все FortiGate (физические, виртуальные, облачные) плюс другие продукты (FortiAnalyzer, FortiManager) объединяются в общую сеть безопасности.
    • Cisco продвигает аналогичный подход с Secure Firewall Management Center / Defense Orchestrator, где администратор может централизованно рулить как физическими NGFW, так и виртуальными Firepower в облаках.
    • Palo Alto осуществляет единое управление через Panorama (для локальных NGFW) и Prisma Access/Cloud NGFW (FWaaS) в облаке, связывая их в общую «сеть» безопасности.

Таким образом, Hybrid Mesh Firewall — это не отдельный продукт, а архитектурный принцип, который реализуют многие вендора современных NGFW, и который заключается в обеспечении единой политики и согласованной фильтрации во всех точках присутствия бизнеса (локальная инфраструктура + облака + филиалы), что помогает лучше противостоять атакам, упрощает управление и отвечает требованиям гибридных инфраструктур.

Развитие Hybrid Mesh Firewall в формате Hypershield

Компания Cisco пошла еще дальше, предложив решение Cisco Hypershield, как развитие mesh-подхода. Отличительной особенностью его является управление также встроенными функциями межсетевого экранирования в маршрутизаторах и коммутаторах Cisco, а также реализация защиты не только на «сетевом периметре» или на границе филиалов, но и непосредственно в среде, где запускаются приложения, то есть на уровне Host-based/Workload Firewall. В последнем случае виртуальный или контейнерный вариант МСЭ (или агента) ставится рядом с каждым рабочим окружением (виртуальной машиной, контейнером, физическим сервером) и затем он анализирует входящие и исходящие соединения и осуществляет микросегментацию на уровне рабочих нагрузок (workloads).

До сих пор не люблю дословный перевод «рабочая нагрузка» термина workload.

Иными словами, «NGFW-функции» разносятся «ближе» к самому приложению, а политики синхронизируются с центральным оркестратором/системой управления.

Такой подход решает проблему «плоской» внутренней сети, где, по классической модели, после прохождения периметра злоумышленник мог свободно распространяться. Workload Firewall блокирует движение атакующего уже на уровне внутренних соединений, реализуя принцип микросегментации: «разрешено только нужное приложению, все остальное по умолчанию закрыто».

Многие производители NGFW все активнее растворяют свои межсетевые экраны в разных элементах инфраструктуры: от программных агентов в облачных контейнерах и на серверах до «железа» на периферии, маршрутизаторов и коммутаторов. А «глобальный оркестратор» (например, Hypershield, FMC, CDO у Cisco) превращается в связующее звено, формирующее гибридный mesh из множества точек применения политик безопасности. Именно такая «распределенная», но централизованно управляемая архитектура является актуальным трендом, который закрывает потребности крупных корпораций с мультиоблачными и филиальными сетями, а также отвечает принципам Zero Trust.

Интеграция МСЭ в сетевое оборудование

Это не новая история, но сейчас она выходит на очередной виток развития. Встраивание в сетевое оборудование остается трендом у всех крупных сетевых вендоров, включая Cisco, Juniper, Huawei и H3C — все они выпускают маршрутизаторы и коммутаторы, куда может быть добавлен модуль DPI/IPS/NGFW. Это упрощает инфраструктуру (вместо отдельных коробок используется комбайн) и приближает контроль безопасности к источнику трафика (edge-устройства, филиалы). При этом центральная консоль управления позволяет координировать распределенную по разным устройствам политику.

Хотелось бы сказать, что отечественные вендора сетевого оборудования тоже идут в этом направлении, но, увы, нет!

Наверное, можно было бы и дальше погружаться в отдельные направления развития рынка NGFW, но думаю, это будет излишним в формате блога. В целом ключевые функции, которыми наделяют свои продукты современные игроки этого рынка, и так понятны. Будем ждать, когда отечественные игроки начнут их внедрять в своих продуктах. Некоторые уже точно начали…

NGFW тенденции
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.