SASE в России: зачем бизнесу объединённая сеть и безопасность

SASE — это не продукт, а подход. Он объединяет сеть и безопасность в одном облачном контуре: маршрутизацию, фильтрацию, контроль доступа, шифрование и аналитику. Расскажем, что такое SASE, как он работает, какие решения есть в России и с чего начать внедрение в своей компании.

SASE помогает собрать всё в единую систему и сделать ИТ проще, а безопасность сильнее.  Вместо десятков отдельных решений — единая архитектура, которая работает независимо от того, где пользователь находится и что он использует.

SASE (Secure Access Service Edge) — это подход к сетевой архитектуре, в котором объединяются функции безопасности и управления трафиком в одном облачном сервисе.

Определение: Secure Access Service Edge

Термин появился в 2019 году благодаря аналитикам Gartner. Они обозначили новую парадигму, в которой сеть и безопасность работают как единое целое, а не как отдельные инструменты.

SASE объединяет технологии:

• SD-WAN (управление маршрутизацией и трафиком)
• Firewall-as-a-Service (FWaaS)
• Secure Web Gateway (SWG)
• Cloud Access Security Broker (CASB)
• Zero Trust Network Access (ZTNA)

Всё это работает как единая облачная платформа, которую можно масштабировать, адаптировать под бизнес-задачи и быстро внедрить без покупки физического оборудования.

Идея объединения сетевых и защитных функций

Традиционно за работу сети и безопасность отвечают разные системы. Есть маршрутизаторы, VPN-шлюзы, прокси, фаерволы, антивирусы, DLP-системы — всё настроено по отдельности. Такое «лоскутное» решение сложно масштабировать, поддерживать и развивать.

SASE предлагает перейти от отдельных инструментов к единой платформе, в которой:

• политика доступа задаётся централизованно,
• трафик проверяется на каждом этапе, независимо от местоположения пользователя,
• используются облачные сервисы вместо локальных решений.

Это делает инфраструктуру гибкой, управляемой и безопасной по умолчанию — особенно в условиях, когда пользователи работают из дома, с личных устройств или из разных филиалов.

Почему это логичное развитие IT-инфраструктуры

Современные ИТ-системы всё чаще строятся на гибридных и облачных решениях. Пользователи работают не из офиса, а откуда угодно — из дома, кафе или заграницы. Приложения тоже больше не живут на локальных серверах: они в облаке, по подписке, в разных дата-центрах.

Классическая сетевая модель, в которой всё защищено «по периметру», перестала работать. Периметр размыт, а VPN — неэффективен и неудобен. Поэтому ИБ и ИТ-подразделения переходят к новой модели доступа: с учётом контекста, личности пользователя, его устройства и местоположения.

Именно здесь и возникает потребность в SASE — как в архитектуре будущего, которая объединяет сетевой доступ, безопасность и аналитику в единую управляемую систему.

Как SASE меняет подход к доступу и контролю

С традиционным подходом доступ к ресурсам открывается через VPN или прямые подключения. Администраторы вынуждены вручную управлять списками пользователей, устройствами и политиками доступа. Это сложно, медленно и небезопасно.

SASE всё меняет:

• пользователи подключаются через облачную точку присутствия, независимо от своего местоположения
• все соединения проверяются в реальном времени: кто зашёл, откуда, с какого устройства, что делает
• политика доступа адаптируется по принципам Zero Trust: минимальные привилегии, проверка каждой сессии
• можно гибко управлять трафиком и приоритетами, используя возможности SD-WAN
• организация получает сквозную видимость всего, что происходит: кто подключается, какие сервисы используются, какие угрозы обнаружены

SASE делает инфраструктуру по-настоящему адаптивной и защищённой, сохраняя при этом простоту управления даже в условиях распределённых команд и роста числа облачных сервисов.

Ключевые компоненты SASE

Чтобы понять, как работает SASE, важно разобраться, из чего он вообще состоит. Это не одно решение, а набор технологий, которые раньше работали по отдельности, а теперь собраны вместе — в одну систему. Ниже расскажем о каждой из них.

SD-WAN — умный способ управлять трафиком

Раньше всё шло по старинке: был один офис, один канал связи, один файрвол. Но когда у компании появляется несколько филиалов, удалённые сотрудники и облачные сервисы — старая схема ломается, трафик замедляется, растёт нагрузка, появляются слепые зоны в защите. Всё начинает тормозить, а ИТ-отдел заваливают жалобами.

SD-WAN решает эту проблему. Он помогает маршрутизировать трафик так, как удобно бизнесу, а не как диктует инфраструктура. Например, трафик на YouTube можно пустить в обход офисного канала, а соединения с внутренними системами — направить через шифрованный туннель.

Что такое SD-WAN и как эта технология трансформирует корпоративные сети — ответы в нашей статье.

SASE включает SD-WAN прямо в свою архитектуру. Это значит, что сеть работает стабильно, даже если часть сотрудников в Туле, часть в Казани, а сервера — в облаке.

Безопасный доступ по принципу нулевого доверия (Zero Trust)

В SASE нет«своих» и «чужих». Каждый запрос к системе проверяется заново. Даже если сотрудник уже авторизовался, у него могут быть разные права на доступ в зависимости от времени, устройства или местоположения. Это и есть Zero Trust — когда доверие не даётся по умолчанию, а зарабатывается каждый раз.

Узнайте, почему Zero Trust критически важен для современных компаний.

SASE использует этот подход из коробки. Когда пользователь подключается к системе, она оценивает — кто он, откуда, с какого устройства, зачем. И только после этого даёт доступ ровно к тому, что нужно для работы.

Фильтрация и защита пользователей в интернете

Когда сотрудники работают в офисе, у тебя есть контроль: файрвол, прокси, антивирусы. А  если человек вышел в сеть из дома, с личного ноутбука? Тут подключается веб-фильтрация — встроенный компонент SASE, который следит за тем, куда идёт трафик и что в нём передаётся.

Он блокирует вредоносные сайты, шифрует соединения, может отключить загрузку исполняемых файлов с неизвестных ресурсов. Это особенно полезно в гибридной работе, когда половина команды подключается с разных точек и устройств.

Контроль облачных и локальных сервисов

Сегодня все пользуются облаками: Google Workspace, 1С в облаке, корпоративные VPN, CRM, телефония. А значит, важно понимать, кто и как ими пользуется.
SASE помогает отслеживать активность: какие сервисы запущены, кто с ними работает, какие файлы скачиваются или загружаются.

Он может заблокировать работу с «теневыми» сервисами — например, если сотрудник решит хранить рабочие документы в своём Dropbox. Или наоборот — дать доступ только к нужным ресурсам в нужное время нужным людям.

Централизованные политики и мониторинг

Вместо того чтобы настраивать файрвол в одном месте, прокси — в другом, а политики доступа — в третьем, вы управляете всем из одной панели.
Настройки работают для всех филиалов, пользователей и устройств независимо от того, где они находятся.

Любое подключение фиксируется. Если что-то пошло не так — подозрительная активность, попытка скачать вредонос — об этом сразу узнаёт ИБ-команда. Это удобно: контроль не теряется даже в распределённой и гибкой среде.

Как SASE работает с CASB, DLP, NGFW

У вас уже может быть файрвол — NGFW, защита от утечек — DLP или облачный брокер безопасности CASB. Хорошая новость: SASE с ними не конфликтует. Более того, он может включать в себя их функциональность.

Если внутри SASE уже есть нужные функции, вы можете отказаться от части отдельных решений — сократить расходы и упростить управление. Если нет — большинство современных платформ легко интегрируются с внешними средствами: NGFW, DLP, SIEM, антивирусами.

SASE не ломает ИТ-ландшафт. Он делает его понятнее, централизованнее и безопаснее.

Понимать, из чего состоит SASE — полезно. Но ещё важнее — понять, как он ведёт себя в реальной жизни. Расскажем, как устроена работа с SASE «вживую»: что происходит, когда сотрудник подключается, как админы управляют доступом, как вписать SASE в существующую ИТ-среду.

Все функции — в едином облачном контуре

Вместо того, чтобы ставить файрвол в каждом офисе, VPN-сервер в дата-центре, а прокси — на ноутбуке, всё работает из облака. Пользователь подключается к ближайшей точке присутствия SASE, и уже там происходит фильтрация, шифрование, проверка трафика, выдача доступа к ресурсам.

Это как облачный файервол + маршрутизатор + антивирус + фильтр — только всё вместе и без десятков отдельных настроек. Для бизнеса это означает одно: стабильная работа без лишних инфраструктурных хлопот.

Проверка каждого подключения в реальном времени

SASE не пропускает трафик на автомате. Он смотрит: кто подключается, откуда, с какого устройства, в какое время. И только потом решает, что с этим делать. Это работает даже, если сотрудник сидит в кафе с личного планшета, — система проверит всё и разрешит только нужные действия.

Контроль идёт на уровне каждой сессии: если сессия изменилась (например, поменялся IP или устройство стало подозрительным) — доступ может быть пересмотрен на лету. Это и есть подход Zero Trust в действии.

Прозрачный контроль доступа из любых точек

Нет разницы, подключается человек из головного офиса, регионального филиала или с дачи. Всё работает одинаково, потому что контроль доступа строится на уровне пользователя и его контекста, а не по принципу «ты внутри сети — значит, свой».

Это сильно упрощает жизнь: не нужно настраивать отдельные схемы для офисов, VPN-профили для командировок или исключения для подрядчиков. Всё работает через единую платформу с едиными правилами.

Примеры: удалённые сотрудники, филиалы, подрядчики

Пример 1: удалённая бухгалтерия

Компания подключила бухгалтеров, работающих из дома, через SASE. Они проходят аутентификацию, после чего получают доступ только к бухгалтерским системам. Веб-фильтр запрещает им открывать соцсети, развлекательные сайты и ресурсы, связанные с загрузкой файлов.

Дополнительно настроена интеграция с UserGate, чтобы синхронизировать контроль доступа на уровне локальной сети и облака. В случае подозрительной активности сотрудника, система моментально отключает его как со стороны облачного сервиса, так и на уровне UserGate.

Пример 2: филиалы в регионах

У компании три филиала: в Москве, Екатеринбурге, Новосибирске. Вместо установки файрволов и VPN в каждом, используют единый облачный контур SASE. Трафик с филиалов уходит в интернет напрямую, но критичные сервисы (1С, CRM) доступны только после проверки через облако.

Пример 3: внешний подрядчик

На проект берут аутсорс-разработчика. Он работает с Git, но не должен видеть CRM и бухгалтерию. Через SASE настраивается разделение доступа: всё, что нужно для кода — разрешено, всё остальное — заблокировано. После завершения проекта доступ просто отключается без танцев с бубном и удалением учёток.

Интеграция с текущими системами компании

SASE — это не про «выбросить всё и построить заново». Он встраивается в уже работающую инфраструктуру:

• может брать данные из Active Directory, LDAP или любых других систем идентификации
• дружит с SIEM-системами, чтобы отправлять логи и события безопасности
• умеет работать совместно с локальными NGFW, если какие-то участки сети ещё не готовы к полной миграции

Даже если у тебя UserGate или другой российский NGFW — они вполне могут работать вместе. А многие отечественные вендоры уже начинают развивать свои компоненты под архитектуру SASE.

Типовые сценарии развёртывания в России

На российском рынке SASE всё ещё формируется, но уже можно встретить рабочие кейсы:

1. Защита распределённых филиалов с UserGate, где облачный контроль соединён с локальными политиками безопасности.
2. Гибридная работа в бухгалтерии или отделе продаж: подключение через облачный шлюз, проверка веб-трафика, ограничение по IP, стране и времени.
3. Организации с импортозамещением: сборка SASE-подхода из совместимых решений — например, использовать RuSIEM, UserGate, отечественный VPN и связать всё политиками доступа.

Важно: SASE — это не конкретный продукт, а подход. Его можно реализовать по-разному, российская практика всё чаще показывает, что это реально даже с локальными решениями.

Почему SASE важен для российских компаний

Для российских организаций, особенно с распределённой инфраструктурой, удалёнными сотрудниками и обязательствами по ИБ, SASE стал необходимостью. Рассмотрим ключевые причины.

Рост распределённых команд и облачных решений

Сотрудники работают из разных городов и часовых поясов. Кто-то в офисе, кто-то дома, кто-то в дороге — всем нужен стабильный и безопасный доступ к системам. Добавим к этому рост SaaS-сервисов и гибридной ИТ-инфраструктуры — получится тот самый хаос, с которым сложно справиться старыми методами.

SASE помогает навести порядок. Он даёт единый механизм доступа, независимо от того, где находится человек, какой сервис он использует — локальный или облачный. Это особенно актуально для компаний, у которых ИТ давно вышло за пределы офиса.

Переход к отечественным ИТ-продуктам и сервисам

После ухода многих зарубежных вендоров бизнес массово переходит на российские решения. Но просто заменить один фаервол другим недостаточно. Нужно, чтобы вся архитектура работала согласованно, а не по принципу «заплатка на заплатке».

SASE можно выстроить и на базе российских компонентов. Уже сегодня в стране есть NGFW, SD-WAN, DLP, SIEM, прокси-сервисы отечественного производства. Они не всегда объединены в одну платформу, но по подходу и логике всё движется в сторону SASE.

Упрощение ИТ-ландшафта и снижение нагрузки на ИБ-отдел

Когда каждая точка доступа, каждое соединение и каждое приложение защищаются разными средствами, управлять этим тяжело. Особенно с небольшим ИБ-штатом, а это частая история в регионах.

SASE даёт централизованный контроль: одна панель, одни политики, одни правила. Это экономит время, снижает количество ошибок, упрощает диагностику. Главное — не требует постоянного вмешательства инженеров, чтобы что-то починить или добавить.

Эффективная защита без «лоскутных» решений

Когда системы безопасности собираются из разрозненных продуктов, появляются дыры. Один компонент не видит, что делает другой. Журнал событий — на одном сервере, фильтрация — на другом, доступ настраивается в Excel-файле.

SASE решает эту проблему за счёт сквозного подхода. Всё работает в одном контуре: доступ, фильтрация, проверка трафика, контроль приложений. Меньше прослоек — меньше рисков. Не нужно тратить недели на стыковку разных систем.

Соответствие внутренним требованиям по безопасности

Для многих компаний важны не только внешние угрозы, но и внутренние политики: запрет доступа к соцсетям, контроль использования облачных хранилищ, разграничение доступа между отделами. Всё это можно реализовать через SASE.

Причём в отличие от классических файрволов, это работает не только в офисной сети, но и при подключении извне. Если сотрудник выходит в интернет с ноутбука из дома, он всё равно попадает под те же самые политики. Это удобно, логично и безопасно.

Поддержка нормативных требований

Компании, работающие в сфере КИИ, госсектора или с персональными данными, обязаны соблюдать жёсткие требования:

• ограничение удалённого доступа
• контроль и аудит подключения
• сегментация ИС и ЗИ
• защита каналов связи
• соответствие сертификации ФСТЭК

Подробнее об объектах КИИ, их категориях и защите читайте в нашем материале.

SASE в этом плане не враг, а помощник. Во-первых, его можно построить из сертифицированных компонентов: UserGate, MaxPatrol SIEM, другие. Во-вторых, он упрощает выполнение требований: политики централизованы, подключения логируются, доступ ограничивается по контексту, а не просто по IP.

Такой подход важен, когда речь идёт о защите инфраструктуры с повышенными требованиями или участии в государственных тендерах.

Преимущества внедрения

SASE — это не просто удобнее. Это проще, надёжнее, выгоднее. Покажем конкретные плюсы, которые видны сразу после внедрения, особенно в распределённых компаниях.

Масштабируемость под рост и новые задачи

Наняли ещё 50 человек? Открыли филиал в другом регионе? Начали пользоваться новым облачным сервисом?
SASE подстраивается под эти изменения без покупки нового оборудования и долгих согласований. Доступ, безопасность и маршрутизация — всё настраивается из одного окна.

Меньше точек отказа, больше управляемости

В классической инфраструктуре каждый шлюз, прокси или VPN — потенциальная точка отказа.
В SASE архитектура распределённая. Если одна точка недоступна, трафик уходит через другую. Всё это видно в админке: что работает, где узкое место, кто подключён.

Снижение затрат на оборудование и поддержку

Не нужно покупать и обслуживать кучу железа — файрволы, прокси, VPN-концентраторы.
Облачные компоненты SASE берут на себя большую часть нагрузки. Это сокращает затраты на капвложения, снижает требования к ИТ-персоналу в филиалах.

Упрощение ИТ и безопасность в одной архитектуре

Раньше сеть и безопасность жили отдельно. Настройки были разбросаны по разным системам. SASE объединяет всё в одном месте. Теперь не нужно согласовывать изменения с пятью отделами — ты настраиваешь доступ, фильтрацию и приоритет трафика в одном интерфейсе. Это сильно экономит время.

Повышение устойчивости к инцидентам

Любая попытка обхода политики, заражения или утечки фиксируется сразу.
SASE проверяет каждое соединение, файл, действие. Угроза не «проваливается» в тени, как это часто бывает при разрозненной защите. Это снижает последствия инцидентов, ускоряет реакцию.

Централизованная аналитика и аудит

Журналы событий, попытки доступа, отклонённые соединения, подозрительная активность — всё собирается в одном месте.
ИБ-специалисты получают полную картину: откуда шёл трафик, кто пытался подключиться, с каким результатом. Можно быстро провести расследование, построить отчёт или выявить слабые места в политике безопасности.

SASE — это не волшебная кнопка, которая решает всё сразу. Это новый подход, внедрять его стоит с пониманием, что придётся кое-что поменять. Расскажем об основных моментах, которые надо учесть заранее.

Переход с устаревшей модели инфраструктуры

Во многих компаниях сеть, безопасность строились годами — слой за слоем.
VPN, локальные файрволы, ручные настройки маршрутов: всё работает, но уже на пределе. При переходе на SASE часть старых решений придётся пересмотреть. Это не всегда просто, но по-другому гибкость и управляемость не получить.

Подбор надёжного отечественного решения

SASE — это не одна коробка, которую можно заказать «под ключ». Это архитектура, которую собирают из нескольких компонентов: SD-WAN, NGFW, VPN, веб-фильтрация, управление доступом, аналитика. У западных вендоров есть готовые облачные платформы, а в России пока приходится компоновать из доступного.

Вот в чём реальный вызов:

• не все решения «умеют» работать в облаке
• интеграция между продуктами бывает ограниченной
• интерфейсы и документация могут быть разными, особенно у нишевых решений

Чтобы не потратить месяцы на эксперименты, имеет смысл привлечь профильного интегратора.
Например, команда Инфратех занимается построением защищённых инфраструктур и знает, как собрать рабочую схему под SASE с российскими продуктами.

Из практики: чаще всего архитектура собирается из таких компонентов:

• UserGate/PT NGFW — в роли NGFW и прокси с веб-фильтрацией
• АПКШ «Континент» — как решение для защищённого туннеля
• отечественный брокер доступа или интеграция с AD/LDAP — для контроля авторизации
• Max Patrol SIEM — для логирования и аналитики
• ZONE Secure SD-WAN — как основа для SD-WAN

Итог — рабочая архитектура, максимально близкая к SASE, с возможностью масштабировать её под свои задачи. Не идеально, но реально.

Потребность в обучении персонала

Подход меняется. Старые схемы с VLAN’ами и периметром отходят в сторону.
SASE — это про контекст, роли, гибкость. ИТ-специалисту нужно понимать, как управлять доступом по принципу Zero Trust, как настраиваются политики, мониторится облачный трафик. Придётся учиться — но это инвестиция в будущее.

Интеграция с «наследием» в ИТ-среде

Редко где можно просто «внедрить SASE с нуля». Почти всегда есть старые сервисы, локальные приложения, нестандартные сетевые схемы.

Чтобы всё это сохранить и плавно перенести в новую архитектуру, потребуется продуманный план. Где-то SASE будет основной точкой входа, а где-то — работать в связке с существующими решениями. Это нормально, если всё сделано грамотно.

Перестройка процессов безопасности под SASE

Системы реагирования, мониторинга и доступа тоже придётся адаптировать.

Пример: раньше инциденты шли только с фаервола. Теперь добавятся события из облачного шлюза, SD-WAN, CASB. Аналитика станет богаче, но и правил придётся написать больше. ИБ-команда должна быть к этому готова.

Ограниченность отечественных SASE-платформ

Пока на российском рынке нет универсального продукта, который охватывает весь SASE-стек.
У разных вендоров — разная зрелость решений. Где-то сильная фильтрация, но нет полноценного SD-WAN. Где-то хороший NGFW, но слабый механизм управления доступом. Часто отсутствует inline DLP.

Вместо того чтобы ждать идеальное решение, лучше сразу собирать архитектуру из проверенных компонентов, например такую, которую мы указали выше.

Да, это требует усилий. Но такой подход уже работает у российских компаний — особенно в банковском секторе, ритейле и логистике. Главное — не искать волшебную коробку, а грамотно собрать архитектуру под свои реалии.

Как внедрять SASE в компании: пошаговый подход

Внедрение SASE — это не одномоментная замена старой схемы. Это переход к новой архитектуре, подходить к нему лучше поэтапно. Дадим проверенный маршрут, по которому уже идут российские компании.

Оценка текущей инфраструктуры

Начинать нужно не с выбора продукта, а с карты того, что есть сейчас:

• какие каналы связи задействованы (MPLS, VPN, интернет)
• где находятся пользователи и филиалы
• как реализован удалённый доступ
• какие средства защиты уже стоят: NGFW, прокси, DLP, SIEM

Задача — понять, что можно сохранить, а что тормозит развитие. Часто оказывается, что половина решений уже не масштабируется или не поддерживает гибридную модель.

Определение приоритетных зон риска

Следом — определяем, где наибольшая угроза и наименьший контроль. Это могут быть:

• удалённые пользователи с доступом к чувствительным данным
• филиалы, подключённые напрямую к интернету
• подрядчики с «расшаренными» VPN
• SaaS-сервисы, которые не видно в централизованной системе

Необязательно охватывать всю компанию сразу. Достаточно выявить точки, где SASE даст быструю отдачу — по безопасности и по удобству.

Пилотирование в одном подразделении

Дальше — запускаем пилот. Это может быть:

• группа бухгалтеров, работающих из дома
• команда разработки с доступом к облачным хранилищам
• региональный филиал с собственной точкой выхода в интернет

В пилоте обкатываются:

• схема подключения через SASE-узел
• политики доступа
• фильтрация трафика
• сбор логов и аналитика

Важно не просто включить, а наблюдать, как ведут себя пользователи, как работает техподдержка, какие есть нюансы.

Выбор отечественного решения или платформы

После пилота — время выбора решений. В России нет единой платформы и рынок еще формируется, так что можно только собирать из разных решений с тем или иным компромиссом.

Интегратор, например Инфратех, поможет сделать этот выбор быстрее — на основе зрелости решений, опыта и доступности технической поддержки.

Постепенное расширение и адаптация политик

После успешного пилота можно поэтапно подключать новые отделы, филиалы и роли. Важно не копировать настройки, а адаптировать их под задачи конкретного подразделения.

При расширении внимательно пересмотреть правила доступа — особенно, если в работе участвуют внешние подрядчики. Параллельно наладьте мониторинг и обработку инцидентов, чтобы сохранить контроль и быстро реагировать на риски.

Параллельно команда ИБ получает больше прозрачности и управляемости, а бизнес — меньше инцидентов и точек отказа.

Обзор российских решений SASE

Российский рынок только формируется в части SASE. Пока нет полноценной единой платформы «всё в одном», как у западных вендоров, но уже есть реальные продукты, из которых можно собрать рабочую архитектуру.

Ниже — короткий обзор того, что стоит на вооружении у российских компаний.

UserGate: NGFW + частичная реализация SASE

UserGate — один из наиболее зрелых игроков в направлении сетевой безопасности.
Что есть:

• NGFW с фильтрацией, DPI, прокси-функциями
• контроль приложений, веб-категорий, HTTPS
• поддержка VPN, интеграция с AD
• ограниченный SD-WAN (на базе маршрутизаторов UserGate RM)

Где используется:
Подходит как шлюз для офисов, филиалов, удалённых точек. Работает как центр политики доступа, фильтрации и журналирования. Часто используется как основа в архитектуре, приближённой к SASE.

Что пока ограничено:

• нет распределённой облачной инфраструктуры POP
• слабая поддержка inline DLP
• управление доступом — базовое, не Zero Trust в полном смысле

Полное руководство о возможностях UserGate для защиты вашей сети вы найдете в нашем обзоре.

Как собирают SASE на базе SD-WAN + CASB + NGFW + SIEM

Пока российские компании чаще собирают SASE вручную — под свои задачи и инфраструктуру. Пример типовой архитектуры:

• SD-WAN: BI.ZONE
• NGFW и фильтрация: Usergate и PT NGFW
• CASB-функции: проксирование SaaS-доступа через шлюзы + ручной контроль;
• Аутентификация и контроль доступа: AD/LDAP + ACL/контроль устройств
• SIEM и логирование: PT SIEM, Usergate SIEM
• Инцидент-менеджмент и аналитика: на базе SOC-платформ, интегрированных с вышеуказанными системами

Такой подход уже реально работает в банках, логистике, ритейле, ИТ-интеграторах. Минус — требует архитектурной проработки и опытной команды. Плюс — гибкость, соответствие требованиям ИБ и ФСТЭК, отказ от западных решений.

Что важно учесть при выборе

Архитектура SASE может быть красивой на бумаге, но всё решают детали. Перед внедрением проверьте несколько критичных моментов, иначе потом придётся переделывать.

1. Где находятся точки POP (точки присутствия)

Если решение позиционируется как облачное, важно узнать, где реально находятся узлы обработки трафика.
Если они все за границей или в Москве, а команда работает во Владивостоке — будут задержки, потери, жалобы.

Что важно:

• наличие POP в регионах
• отказоустойчивость и балансировка нагрузки
• возможность развернуть собственный шлюз (on-prem POP) при необходимости

2. Поддерживаются ли политики по идентификации (Zero Trust)

Не все продукты, называющие себя SASE, реально реализуют Zero Trust. Часто под этим скрывается обычная авторизация по логину и паролю.

Что стоит проверить:

• есть ли динамические политики доступа
• можно ли ограничивать доступ по географии, устройству, времени, роли
• поддерживается ли постоянная проверка сессий, а не «один раз авторизовался — и везде пускаем»

3. Есть ли интеграция с российскими криптоалгоритмами и ГОСТ VPN

Если вы работаете в госзаказе, КИИ или просто придерживаетесь регуляторных стандартов, нужно убедиться, что:

• VPN или туннель используют ГОСТ-криптографию (например, ГОСТ Р 34.10/34.11)
• оборудование или софт имеет сертификацию ФСБ/ФСТЭК
• возможно подключение через сертифицированные модули (например, ViPNet, Континент)

Это критично при работе с ПДн, гостайной, КИИ или в рамках приказа №239.

Подробнее о том, что такое ГОСТ VPN и почему он критически важен для защиты государственных и корпоративных данных, читайте в нашем материале

4. Поддержка отчётности под №187-ФЗ

Компании из сферы КИИ обязаны:

• фиксировать попытки доступа и инциденты
• хранить логи с определённой глубиной
• вести аудит и предоставлять отчёты регуляторам

Платформа должна:

• вести полные журналы событий
• передавать логи в SIEM (RuSIEM, Security Vision)
• формировать отчёты в соответствии с ГОСТ 57580 и приказами ФСТЭК

Если это не предусмотрено из коробки — значит, вам придётся создавать отдельный контур под регуляторику. Лучше выбрать решение, которое уже учитывает эти требования.

Главное о SASE

SASE — не просто очередная аббревиатура. Это ответ на реальность, в которой сотрудники работают из разных точек, приложения живут в облаке, а ИБ-команды хотят управлять всем централизованно. Для российского бизнеса это особенно актуально: инфраструктуры сложные, угрозы реальные, западные решения — недоступны.

SASE — это путь не только к упрощению ИТ, но и к системной защите без перегрузок и лоскутной сборки. Подход можно реализовать уже сейчас — на отечественных решениях и с опорой на надёжного интегратора.

SASE объединяет сеть и безопасность. Маршрутизация, фильтрация, VPN, контроль доступа — теперь это одна архитектура, а не пять разных систем.

Модель Zero Trust — не теория, а практика. Каждое подключение проверяется заново. Контроль работает даже вне офиса.

Подход особенно нужен при гибридной работе. Удалённые сотрудники, филиалы, подрядчики — всё это требует нового уровня управления доступом и защитой.

Готовой российской платформы SASE пока нет. Но её можно собрать: UserGate, Киберпротект, SIEM и другие решения работают вместе.

Важно начинать с оценки текущей ИТ-среды. Нельзя просто «внедрить SASE». Нужно адаптировать архитектуру под реальные процессы и риски.

Сильный партнёр — критичен для успеха. Интегратор с опытом сэкономит месяцы работы и не допустит десятки потенциальных ошибок.

Экономика — на стороне SASE. Меньше точек отказа, меньше инфраструктуры, меньше нагрузки на ИТ. Выгода видна не сразу, но на дистанции — ощутимо.