SASE, SSE, CASB, SWG: разбираемся в облачной модели сетевой безопасности
SASE, SSE, CASB и SWG — не конкуренты, а уровни одной матрёшки. SASE — самая широкая модель: облачная сеть (SD-WAN) плюс облачная безопасность. Эта облачная безопасность и называется SSE. А SSE, в свою очередь, собирается из нескольких сервисов, где SWG и CASB — два базовых кирпича рядом с ZTNA и DLP. То есть аббревиатуры вложены друг в друга, а не стоят в один ряд. **Если коротко:** SWG защищает выход в интернет, CASB контролирует работу с облаками и SaaS, ZTNA даёт доступ к внутренним приложениям без классического VPN, DLP не выпускает данные наружу. Вместе они образуют SSE, а SSE вместе с сетевой частью — SASE. Ниже разберём каждый класс простыми словами, покажем таблицу «класс → задача → когда нужен» и честно отметим, что в России рынок именно «коробочного SASE» пока незрелый. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге SASE, SSE, CASB и SWG](/rating/sase-sse-casb-swg).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Антон Смирнов
Старший редактор исследований ИБ-рынка
Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T
author
Полина Лебедева
Исследователь рынка ИБ-поставщиков
Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.
- 5 лет в market research, digital-аналитике и конкурентных обзорах
- Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Зачем вообще понадобилась облачная модель
Классическая схема защиты строилась вокруг периметра: офис, дата-центр, межсетевой экран на границе и VPN для редких удалёнщиков. Весь трафик заворачивался в центральную точку, где стояли средства защиты. Пока приложения и пользователи жили внутри периметра, это работало.
Дальше всё изменилось сразу по нескольким направлениям:
- **Распределённый доступ.** Сотрудники работают из офисов, из дома и из поездок, с ноутбуков и личных устройств — единого «внутри» больше нет. - **SaaS и облака.** Почта, документы, CRM, хранилища переехали в облачные сервисы. Заворачивать этот трафик через центральный дата-центр бессмысленно: он всё равно идёт в интернет. - **Удалёнка как норма.** Гибридный режим стал постоянным, а не аварийным. Гонять весь трафик удалённых пользователей через VPN в офис — это узкое место и по скорости, и по безопасности.
Когда пользователи, устройства и приложения оказались «снаружи», защищать одну точку входа стало нечего. Логика перевернулась: безопасность должна быть там, где пользователь, и применяться к каждому соединению. Так появилась облачная модель, где функции защиты вынесены в распределённые точки присутствия, а не в один шлюз на периметре.
SASE простыми словами: сеть плюс безопасность
SASE (Secure Access Service Edge) — это модель, в которой сетевой доступ и сетевая безопасность объединены и доставляются как облачный сервис ближе к пользователю. Раскладывается она на две половины:
- **Сетевая половина — SD-WAN** и связанная маршрутизация: как трафик доходит до приложений быстро и оптимальным путём. - **Половина безопасности — SSE** (Security Service Edge): как этот трафик проверяется и фильтруется.
Формула простая: **SASE = SD-WAN (сеть) + SSE (безопасность)**. Если убрать сетевую часть и оставить только облачные функции защиты — получится SSE. Поэтому SASE и SSE часто путают: SSE — это подмножество SASE, его «оборонительная» половина без управления сетью.
Из чего состоит SSE: четыре базовых сервиса
SSE — это не один продукт, а набор облачных сервисов безопасности. Чаще всего в него включают четыре класса:
- **SWG (Secure Web Gateway)** — защищённый веб-шлюз. Контролирует выход пользователей в интернет: фильтрует URL и категории сайтов, проверяет загрузки, инспектирует трафик (в том числе TLS), блокирует вредоносное и нежелательное. - **CASB (Cloud Access Security Broker)** — брокер безопасности облачного доступа. Стоит между пользователями и SaaS-приложениями, даёт видимость «теневого ИТ», управляет тем, что можно делать в облачных сервисах, и защищает данные в них. - **ZTNA (Zero Trust Network Access)** — доступ к внутренним приложениям по принципу нулевого доверия. Заменяет классический VPN: даёт доступ не к сети целиком, а к конкретному приложению, после проверки пользователя и устройства. - **DLP (Data Loss Prevention)** — предотвращение утечек данных. Сквозной слой, который следит, чтобы чувствительная информация не уходила наружу через веб, облака или почту.
Эти четыре сервиса работают в связке: SWG и CASB смотрят «наружу» (интернет и облака), ZTNA — «внутрь» (доступ к приложениям компании), а DLP пронизывает их все, контролируя сами данные.
Класс → что делает → когда нужен
Ниже — ориентир, как разнести классы по задачам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/sase-sse-casb-swg). Цель таблицы — показать, какую конкретную проблему закрывает каждый класс и в каком сценарии он включается первым.
| Класс | Что делает | Куда смотрит | Когда нужен в первую очередь |
|---|---|---|---|
| SWG | Фильтрует выход в интернет, инспектирует веб-трафик и загрузки | Наружу, в интернет | Нужен контроль веб-доступа сотрудников и защита от веб-угроз |
| CASB | Видимость и контроль SaaS, борьба с теневым ИТ, защита данных в облаках | Наружу, в SaaS/облака | Активно используются облачные сервисы, нужен контроль над ними |
| ZTNA | Доступ к внутренним приложениям по модели нулевого доверия | Внутрь, к приложениям | Уход от VPN, безопасный удалённый доступ к корпоративным системам |
| DLP | Контроль и блокировка утечек чувствительных данных | На сами данные | Есть данные, утечка которых критична (ПДн, тайна, документы) |
| SSE | Объединяет SWG + CASB + ZTNA + DLP как облачный сервис | Наружу и внутрь | Нужна единая облачная платформа безопасного доступа |
| SASE | SSE плюс облачная сеть (SD-WAN) | Сеть + безопасность | Распределённая сеть филиалов и пользователей с единым управлением |
Как это вкладывается друг в друга
Главная путаница вокруг этих аббревиатур — в том, что их ставят в один ряд, хотя они вложены. Полезно держать в голове иерархию:
- **SASE** — внешняя оболочка: сеть + безопасность как единый облачный сервис. - **SSE** — половина SASE, отвечающая за безопасность. - **SWG, CASB, ZTNA, DLP** — кирпичи, из которых собирается SSE.
Из этого следует практический вывод: «купить SASE» целиком — не всегда первый шаг. Многие компании начинают с одного-двух компонентов SSE (например, SWG для веб-доступа или CASB для контроля облаков), а к полной модели приходят постепенно. Поэтому важно понимать не только верхнюю аббревиатуру, но и зрелость каждого отдельного класса.
Зрелость классов в РФ и их место в модели
Зрелость классов облачной модели в РФ
Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашей инфраструктуре.
С чего начать: чек-лист
Как обычно внедряют облачную модель: 5 шагов
-
01
Старт с одного компонента
Берут самую острую задачу — чаще SWG (веб-доступ) или CASB (контроль облаков) — и закрывают её первой.
-
02
Видимость и аудит
Включают мониторинг: какие сайты и SaaS используются, где теневое ИТ, какой трафик идёт мимо контроля.
-
03
Замена VPN на ZTNA
Переводят удалённый доступ к внутренним приложениям на модель нулевого доверия, сужая доступ до конкретных систем.
-
04
Слой данных (DLP)
Подключают контроль утечек поверх веб- и облачного трафика, увязывая политики с классификацией данных.
-
05
Сборка в платформу
Объединяют компоненты под единым управлением (SSE) и при необходимости добавляют сетевую часть (SD-WAN) до уровня SASE.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом SASE, SSE, CASB и SWG](/rating/sase-sse-casb-swg): здесь — модель и классы, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Разобрались в модели — переходите к сравнению поставщиков: **[рейтинг SASE, SSE, CASB и SWG →](/rating/sase-sse-casb-swg)**. Полезно прочитать рядом: [чем заменить Zscaler, Netskope и Cisco Umbrella](/research/zamena-zscaler-netskope-cisco-umbrella), [рейтинг SSE и Secure Web Gateway 2026](/research/reyting-sse-swg-rossiya-2026) и [как выбрать CASB](/research/casb-kak-vybrat-broker-oblachnoy-bezopasnosti).
Частые вопросы
В чём разница между SASE и SSE?
SASE — это широкая модель, объединяющая облачную сеть (SD-WAN) и облачную безопасность. SSE — это именно половина безопасности внутри SASE, без управления сетью. Можно сказать, что SSE — подмножество SASE: SASE = SSE + сетевая часть.
Что такое CASB простыми словами?
CASB — брокер безопасности облачного доступа. Он стоит между сотрудниками и облачными сервисами (SaaS) и решает три задачи: показывает, какими облаками реально пользуются (включая теневое ИТ), управляет разрешёнными действиями в них и защищает данные, которые туда попадают.
Чем SWG отличается от CASB?
SWG контролирует выход в интернет в целом: фильтрует сайты, проверяет загрузки, инспектирует веб-трафик. CASB сфокусирован именно на облачных сервисах и работе с ними — видимость SaaS и защита данных в облаках. Они дополняют друг друга и оба входят в SSE.
Нужно ли сразу внедрять весь SASE?
Не обязательно. Большинство компаний начинают с одного-двух компонентов SSE — например, SWG или CASB — и наращивают модель постепенно. Полный SASE с сетевой частью имеет смысл, когда нужна единая платформа для распределённой сети филиалов и пользователей.
Есть ли зрелые российские решения SASE?
Полноценного «коробочного» SASE на российском рынке пока мало — это незрелый сегмент. При этом отдельные классы (DLP, веб-шлюзы, решения для доступа без VPN) представлены заметно лучше. Актуальный статус сверяйте в реестре отечественного ПО и реестре ФСТЭК, а поставщиков — в рейтинге категории.
Источники и метод проверки
SASE, SSE, CASB и SWG — не конкуренты, а уровни одной матрёшки. SASE — самая широкая модель: облачная сеть (SD-WAN) плюс облачная безопасность. Эта облачная безопасность и называется SSE. А SSE, в свою очередь, собирается из нескольких сервисов, где SWG и CASB — два базовых кирпича рядом с ZTNA и DLP. То есть аббревиатуры вложены друг в друга, а не стоят в один ряд. **Если коротко:** SWG защищает выход в интернет, CASB контролирует работу с облаками и SaaS, ZTNA даёт доступ к внутренним приложениям без классического VPN, DLP не выпускает данные наружу. Вместе они образуют SSE, а SSE вместе с сетевой частью — SASE. Ниже разберём каждый класс простыми словами, покажем таблицу «класс → задача → когда нужен» и честно отметим, что в России рынок именно «коробочного SASE» пока незрелый. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге SASE, SSE, CASB и SWG](/rating/sase-sse-casb-swg).