За последние годы рынок сетевой безопасности заметно изменился. Межсетевой экран никуда не исчез и не утратил своей значимости, но его роль уже не та, что десять или пятнадцать лет назад.

Раньше NGFW (Next Generation Firewall) часто воспринимался как центр архитектуры безопасности: через него проходил основной трафик, в нём концентрировались правила, а защита строилась вокруг сетевого периметра. Сегодня такая модель всё хуже отражает реальность. Инфраструктура распределена между облаками, контейнерами, API, удалёнными пользователями и машинными идентичностями. Значительная часть взаимодействий больше не проходит через классический периметр.

Из-за этого меняется и роль NGFW. Он остаётся важной точкой контроля, но всё реже выступает главным местом, где формируется логика безопасности.

Теперь важнее не только способность межсетевого экрана фильтровать трафик, но и источник контекста для принятия решений, какие домены влияют на политику безопасности и где находится центр тяжести в современной архитектуре.

Ниже — разбор причин, по которым рынок движется в этом направлении, и ключевых технологических факторов, формирующих новые реалии.

Почему классическая модель утратила устойчивость

Традиционная модель безопасности основывалась на трёх допущениях:

• Пользователи находились внутри корпоративной сети или подключались через контролируемую точку.
• Приложения размещались в дата-центре или локальной сети.
• Сегментация и контроль строились вокруг стабильного сетевого периметра.

В такой модели NGFW был естественным центром принятия решений.

Сегодня эти предпосылки размыты:

Приложения и данные распределены между облаками, контейнерами, платформами и внешними API. Они динамически изменяются, и их сложно привязать к фиксированной инфраструктуре.

Пользователи работают из разных мест и на разных устройствах. Доступ строится не на основе нахождения «внутри сети», а на контекстном доступе к конкретным ресурсам.

Безопасность всё чаще опирается не на IP-адреса, а на идентичность, поведение, уровень риска, тип сущности и историю активности.

Появился AI — как новая инфраструктура и новая поверхность атаки. Теперь нужно защищать не только трафик, но и модели, агентов, пайплайны и интеграции.

В результате центр принятия решений смещается от статических сетевых правил к аналитике, данным и контексту.

Что показывает рынок

На рынке безопасности прослеживаются две стратегии:

Платформенная. Крупные вендоры создают сквозные решения, объединяющие сеть, облако, устройства, идентичности, аналитику и автоматизацию. Цель — охватить как можно больше точек контроля.

Специализированная. Малые и средние компании делают ставку на глубокую экспертизу в узких областях: CNAPP, API Security, Identity Security, AI Security, runtime-защита, observability и другие. Их преимущество — скорость, гибкость и открытые интерфейсы для интеграции.

Обе стратегии жизнеспособны. Выбор зависит от бизнес-задач и архитектурных приоритетов.

Пять факторов, меняющих роль NGFW

На архитектуру сетевой безопасности сильнее всего влияют:

• AI
• SASE / SSE / ZTNA
• Identity Security
• Cloud Security
• Data Security Analytics

Именно они объясняют, почему NGFW всё чаще становится не центром архитектуры, а одним из механизмов применения политики.

AI: новый слой инфраструктуры и новая поверхность атаки

AI перестал быть маркетинговым трендом. Он превратился в самостоятельное направление с уникальными рисками и объектами защиты: модели, агенты, inference-сервисы, пайплайны, интеграции.

Это меняет требования к сетевой безопасности. NGFW должен распознавать AI-трафик, но ещё важнее — учитывать контекст: какие данные обрабатываются, насколько критичен сценарий, не выходит ли поведение за рамки ожидаемого.

В такой среде межсетевой экран не может быть единственным арбитром. Он становится точкой исполнения решений, сформированных на основе внешних аналитических сигналов.

SASE / SSE / ZTNA: периметр стал распределённым

Рост SASE, SSE и ZTNA — не просто смена аббревиатур. Это признак того, что классический периметр больше не совпадает с реальной архитектурой доступа.

Пользователи работают из любой точки, приложения — в нескольких облаках. Доступ строится не на подключении к сети, а на контекстном доступе к ресурсу.

Поэтому связка Secure Web Gateway, ZTNA и SD-WAN становится новой базовой моделью для многих сценариев.

Для NGFW это означает: он остаётся важным, но перестаёт быть единственной точкой входа. Часть функций уходит в облако, клиентские агенты и edge-инфраструктуру.

Теперь NGFW — один из элементов контроля, а не центр удалённого доступа.

Identity Security: политика зависит от сущности, а не от адреса

Происходит переход от сетевой модели к модели на основе сущностей. Вопрос «с какого IP пришёл запрос» уступает вопросу «кто обращается, с каким уровнем доверия и в каком контексте».

Речь идёт не только о пользователях. Растёт число машинных идентичностей: сервисных аккаунтов, токенов, ключей, workload identities, API identities.

Для NGFW это вызов. Сетевые параметры больше не описывают ситуацию полностью. Решения должны учитывать роль, тип устройства, уровень риска, историю поведения и происхождение сессии — данные, выходящие за рамки сетевой логики.

Это один из главных факторов, из-за которого NGFW смещается из центра архитектуры в сторону исполняющего элемента.

Cloud Security: трафик обходит классический NGFW

Облако изменило не только размещение сервисов, но и природу взаимодействий. Большая часть трафика проходит внутри облачной среды: между микросервисами, контейнерами, API, serverless-функциями и компонентами service mesh. Классический периметр видит лишь часть картины.

Отсюда три последствия:

Во-первых, точки контроля перемещаются ближе к нагрузке: внутри кластеров, на уровне runtime, в API-шлюзах, mesh-компонентах и облачных сервисах.

Во-вторых, значение IP-адреса снижается. Важнее становятся контекстные атрибуты: namespace, service identity, облачные теги, тип workload.

В-третьих, NGFW не может быть единственным центром контроля в cloud-native архитектуре. Он нужен, но только как часть более широкой системы.

Data Security Analytics: решение рождается вне firewall

Самый глубокий сдвиг — в аналитическом контуре. Раньше логика безопасности была в правилах firewall, IPS, proxy. Позже добавился SIEM. В современных средах этого недостаточно.

Сложные сценарии требуют комбинации сигналов: сетевой телеметрии, данных об идентичности, поведении, конфигурациях, threat intelligence, чувствительности данных и критичности сервисов.

Ценность смещается туда, где можно собрать, обогатить и связать эти сигналы, оценить риск и принять решение.

В такой модели NGFW важен не только как фильтр, но и как источник качественной телеметрии, участник аналитической экосистемы и исполнитель внешних решений.

Вопрос «насколько хорош firewall сам по себе» уступает вопросу «насколько хорошо он встроен в контур сбора данных, аналитики и динамического управления».

Как меняется архитектура

Современная архитектура безопасности всё меньше напоминает модель с центральным NGFW. Формируется распределённый контур:

• Сигналы поступают из разных источников.
• Аналитические и контекстные сервисы обогащают данные.
• Решение принимается на основе совокупности факторов.
• Политика применяется одновременно в нескольких точках: NGFW, ZTNA, SWG, API security, endpoint, runtime-системах.

Что это значит для вендоров и заказчиков

Для вендоров: удерживать центральную роль только за счёт NGFW невозможно. Нужно либо строить широкую платформу, охватывающую несколько доменов, либо предлагать глубокую специализацию и качественную интеграцию.

Для заказчиков: выбор NGFW остаётся важным, но не единственным архитектурным решением. Критично понимать:

• Где формируется решение о доступе и реакции.
• Какие домены дают контекст.
• Какие сигналы считаются значимыми.
• Где применяется политика.

Именно это определяет зрелость современной архитектуры безопасности.

NGFW не исчезает и не теряет значения. Но он перестаёт быть единственным центром. Решение всё чаще формируется на уровне данных, идентичности, поведения, облачного контекста и аналитики. Межсетевой экран остаётся важным элементом — одной из точек контроля, — но уже не главным арбитром.

Обсуждать будущее сетевой безопасности теперь нужно в терминах identity, cloud, распределённого доступа, AI и аналитических контуров, которые объединяют всё это в единую систему.

За последние годы рынок сетевой безопасности заметно изменился. Межсетевой экран никуда не исчез и не стал второстепенным элементом защиты, но его роль уже не та, что десять или пятнадцать лет назад.

Раньше NGFW (Next Generation Firewall) часто воспринимался как центральная точка безопасности: через него проходил основной трафик, в нём концентрировались правила, а сама архитектура во многом строилась вокруг сетевого периметра. Сегодня такая модель всё хуже описывает реальность. Инфраструктура распределилась между облаками, контейнерами, API, удалёнными пользователями и машинными идентичностями. Значительная часть взаимодействий больше не проходит через классический периметр вообще.

Из-за этого меняется и роль самого NGFW. Он остаётся важной точкой контроля, но всё реже выступает главным местом, где формируется логика безопасности.

Вопрос уже не только в том, насколько хорошо межсетевой экран умеет фильтровать трафик. Намного важнее становится другое: откуда берётся контекст для принятия решения, какие домены реально влияют на политику безопасности и где в современной архитектуре находится центр тяжести.

Ниже по тексту разбирается, почему рынок движется именно в эту сторону и какие технологические направления сильнее всего на это влияют.

Все выводы и оценки в статье носят аналитический характер и основаны на открытых источниках: публикациях производителей, отраслевых обзорах, открытых новостях и наблюдаемых изменениях рынка.

Почему классическая модель начала терять устойчивость

Традиционная модель сетевой безопасности опиралась на несколько понятных допущений:

• Пользователи находились внутри корпоративной сети или входили в неё через контролируемую точку доступа.
• Основные приложения жили в дата-центре или в корпоративной сети.
• Логика сегментации и контроля строилась вокруг относительно стабильного сетевого периметра.

Межсетевой экран в такой модели был естественным центром принятия решений.

Сегодня эти предпосылки размыты:

1)      Приложения и данные давно перестали жить только в локальной инфраструктуре. Они распределены между облаками, контейнерными средами, облачными-платформами, внешними API и сервисами, которые могут меняться динамически.

2)      Пользователь больше не привязан к одному месту работы и одному типу доступа. Значительная часть взаимодействий строится не через постоянное нахождение «внутри сети», а через контекстный доступ к конкретным приложениям и ресурсам.

3)      Сама безопасность всё чаще опирается не на сетевые признаки, а на более богатый набор данных: идентичность, поведение, тип сущности, её уровень риска, характер данных, историю активности и внешние сигналы.

4)      В архитектуру вошёл AI — не только как технология автоматизации, но и как новый тип объектов защиты. Появились модели, агенты, AI-конвейеры, новые поверхности атаки и новые требования к контексту.

В результате центр принятия решений постепенно уходит от статического сетевого правила к совокупности данных, аналитики и контекста.

Что видно на уровне рынка

Если смотреть на рынок сетевой и смежной безопасности в целом, становятся заметны две параллельные стратегии.

Первая — всеобъемлющая или платформенная. Крупные игроки пытаются собрать сквозные контуры, объединяющие сеть, облако, конечные устройства, аналитику, идентичности, данные и автоматизацию. Их задача — не просто продавать отдельный продукт, а обеспечивать максимальное покрытие точек/узлов, через которые проходит решение.

Вторая — специализированная. Небольшие и средние компании делают ставку на глубину в отдельных нишах: CNAPP, API Security, AI Security, identity security, runtime-security, observability, data exposure, attack surface и других областях. Их преимущество — в глубокой специализации, скорости и способности встраиваться в крупные экосистемы и взаимодействовать через открытые интерфейсы.

Обе стратегии показали свою жизнеспособность и выбор пути каждая компания определяет для себя самостоятельно.

Пять направлений, которые меняют роль NGFW

Наиболее сильное влияние на архитектуру сетевой безопасности сегодня оказывают пять направлений:

• AI
• SASE / SSE / ZTNA
• Identity Security
• Cloud Security
• Data Security Analytics

Именно они объясняют, почему межсетевой экран всё чаще становится не центром архитектуры, а одним из механизмов применения политики.

AI: новый слой инфраструктуры и новая поверхность атаки

Ещё недавно AI в ИБ воспринимался в первую очередь как маркетинговая надстройка: «у нас тоже есть AI». Но за очень короткий срок ситуация изменилась. AI оформился в отдельное направление со своими рисками, своими объектами защиты и своими архитектурными последствиями.

Теперь защищать приходится не только пользователей, приложения и каналы связи, но и модели, агентные системы, inference-сервисы, пайплайны обработки данных, интеграции между AI-компонентами и внешними системами.

Это меняет и требования к сетевой безопасности.

NGFW должен уметь различать и учитывать трафик, связанный с AI-сервисами и AI-интеграциями. Но ещё важнее другое: для принятия решения всё чаще недостаточно знать только источник, адрес и приложение. Нужен более широкий контекст — какие данные обрабатываются, каков уровень доверия к источнику, с каким сервисом связан агент, насколько критичен сценарий, не выходит ли взаимодействие за ожидаемые поведенческие рамки.

В такой модели межсетевой экран уже не может быть единственным арбитром. Он становится одной из точек, где исполняется решение, сформированное с учётом внешних аналитических сигналов.

SASE / SSE / ZTNA: периметр стал распределённым

Рост SASE, SSE и ZTNA — это не просто очередная смена рыночных аббревиатур. Это отражение того факта, что классический периметр перестал совпадать с реальной архитектурой доступа.

Пользователь может работать из любой точки. Приложения могут находиться одновременно в нескольких облаках и вне них. Доступ всё чаще строится не по принципу «подключиться в сеть и получить всё, что внутри», а по принципу контекстного доступа к конкретному ресурсу.

Поэтому связка Secure Web Gateway, Zero Trust Network Access и SD-WAN стала для многих сценариев новой базовой моделью.

Для NGFW это означает, что он остаётся важным механизмом контроля, но уже не является единственной точкой входа. Часть функций уходит в облачные сервисы доступа, часть — в клиентские агенты, часть — в edge-инфраструктуру и распределённые узлы связности.

Иначе говоря, межсетевой экран сохраняет значение, но перестаёт быть единственным местом, через которое проходит логика удалённого и сетевого доступа.

Identity Security: политика всё больше зависит от сущности, а не от адреса

Один из самых значимых сдвигов последних лет — переход от сетевой модели к модели на основе сущностей.

Безопасность всё меньше строится вокруг вопроса «с какого IP-адреса пришёл запрос» и всё больше — вокруг вопроса «какая сущность обращается к какому ресурсу, с каким уровнем доверия и в каком контексте».

Причём речь идёт не только о пользователях. В современной инфраструктуре быстро растёт число машинных идентичностей: сервисных аккаунтов, токенов, ключей, сертификатов, workload identities, API identities и других объектов, которые участвуют во взаимодействиях не реже, а часто и чаще людей.

Для межсетевого экрана это создаёт прямой вызов. Сетевые параметры продолжают играть роль, но уже не описывают ситуацию полностью. Решения всё чаще должны учитывать атрибуты сущности: роль, тип устройства, принадлежность сервису, уровень риска, историю поведения, происхождение сессии и другие параметры, которые находятся за пределами классической сетевой логики.

Это один из главных факторов, из-за которых NGFW постепенно смещается из центра архитектуры в сторону одного из её исполняющих элементов.

Cloud Security: существенная часть трафика просто не проходит через классический NGFW

Облако изменило не только место размещения сервисов, но и саму природу взаимодействий.

Большая часть современного трафика может происходить внутри облачной среды: между контейнерами, микросервисами, API, serverless-функциями, managed-сервисами и компонентами service mesh. Во многих случаях классический периметр видит лишь часть картины.

Отсюда следуют важные последствия.

Во-первых, точки контроля распределяются ближе к самой нагрузке: внутри кластера, на уровне runtime, внутри API-шлюзов, mesh-компонентов, eBPF-уровня и облачных защитных сервисов.

Во-вторых, важность сетевого адреса снижается по сравнению с контекстом среды: namespace, service identity, тип workload, принадлежность к окружению, облачные теги и атрибуты часто значат больше, чем просто IP.

В-третьих, становится очевидно, что NGFW не может быть единственным центром контроля cloud-native архитектуры. Он по-прежнему нужен, но уже только как один из элементов более широкой модели.

Data Security Analytics: решение всё чаще рождается вне самого firewall

Наиболее глубокий архитектурный сдвиг происходит в аналитическом контуре.

Раньше логика безопасности была жёстко зашита в правилах конкретных контролирующих систем: firewall, IPS, proxy, AV и других. Затем к ним добавился SIEM как механизм корреляции событий. Но в современных распределённых средах этого уже недостаточно.

Большинство сложных сценариев требует комбинации сигналов: сетевой телеметрии, облачного контекста, данных об идентичности, информации о поведении, сведений о конфигурациях, внешней threat intelligence, данных о чувствительности ресурсов и бизнес-критичности сервисов.

Поэтому ценность смещается туда, где можно собрать эти сигналы, обогатить их, связать между собой, оценить риск и только после этого определить управляющее действие.

В такой модели межсетевой экран важен не только как механизм фильтрации. Его зрелость всё чаще определяется и другим: насколько качественную телеметрию он способен дать наружу, насколько хорошо интегрируется в аналитическую экосистему и насколько быстро может применять решение, пришедшее извне.

Именно поэтому вопрос «насколько хорош firewall сам по себе» всё чаще уступает вопросу «насколько хорошо он встроен в контур сбора сигналов, аналитики и динамического управления политикой».

Что это меняет в архитектуре

Если собрать всё вместе, то получается довольно простая, но важная картина.

Современная архитектура безопасности всё меньше похожа на модель, где один центральный межсетевой экран принимает почти все значимые решения. Вместо этого формируется более распределённый контур:

• разные источники поставляют сигналы
• аналитические и контекстные сервисы обогащают картину
• решение формируется на основе совокупности факторов
• применение политики выполняется в нескольких точках одновременно — в NGFW, ZTNA, SWG, API security, endpoint, runtime-security и других механизмах

Что это означает для вендоров и заказчиков

Для вендоров это означает, что невозможно бесконечно удерживать центральную роль в архитектуре, опираясь только на сам NGFW. Нужно либо строить более широкий платформенный контур, который включает несколько доменов одновременно, либо давать глубокую специализацию и качественную интеграцию в экосистему других игроков.

Для заказчиков это означает, что вопрос выбора межсетевого экрана всё ещё важен, но уже не должен быть единственным архитектурным вопросом. Не менее важно понимать:

• где в организации реально формируется решение о доступе и реакции
• какие домены дают для этого контекст
• какие сигналы считаются значимыми
• какие системы выступают точками исполнения политики

Именно это в значительной степени определяет зрелость современной архитектуры безопасности.

NGFW не исчезает и не становится незначимым. Но он перестаёт быть единственным центром архитектуры безопасности.

Решение всё чаще формируется на уровне данных, идентичности, поведения, облачного контекста и аналитики. Межсетевой экран в этой модели остаётся важным элементом — одной из точек контроля и применения политики, — но уже не единственным местом, где определяется логика защиты.

Именно поэтому обсуждать будущее сетевой безопасности сегодня стоит не только в терминах возможностей самого firewall, но и в терминах более широкой архитектуры: identity, cloud, distributed access, AI и аналитических контуров, которые связывают всё это воедино.

При подготовке материала использованы открытые источники: публикации производителей, отраслевые обзоры, аналитика и другие материалы по теме, включая статьюThe Evolution of the NGFW Market.