Чем заменить Cisco ISE, Aruba ClearPass и Forescout в России
Cisco ISE, Aruba ClearPass и Forescout закрывали в корпоративной сети целый контур: контроль сетевого доступа (NAC), аутентификацию по 802.1X через RADIUS, профилирование устройств, безагентную видимость и допуск к сети по политике. После 2022 года поставки и поддержка этих продуктов в России свернуты, а на значимых объектах их использование вступает в конфликт с требованиями к доверенным средствам защиты. **Если коротко:** прямого «коробочного» аналога Cisco ISE или Forescout в России пока нет — рынок NAC здесь моложе. Но функции этих платформ закрываются комбинацией отечественных решений: NGFW и шлюзов с RADIUS, систем инвентаризации и видимости, средств микросегментации. Замена планируется не «продукт на продукт», а «функция на функцию». Ниже — что именно закрывали западные NAC, чем это закрывать сейчас, что проверять при выборе и как мигрировать. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге NAC и микросегментации](/rating/nac-microsegmentation).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что закрывали Cisco ISE, Aruba ClearPass и Forescout
Прежде чем подбирать замену, важно разложить эти платформы на функции — заменять нужно именно их, а не «бренд». В разных проектах западные NAC выполняли разный набор задач, но ядро было общим:
- **Аутентификация доступа к сети (802.1X/RADIUS).** Устройство или пользователь не попадают в сеть, пока не пройдут проверку на порту коммутатора или точке доступа. - **Профилирование устройств.** Автоматическое определение типа устройства (ПК, принтер, IP-камера, ПЛК) по отпечаткам трафика, DHCP, MAC-вендору и другим сигналам. - **Безагентная видимость.** Инвентаризация всего, что подключено к сети, включая устройства без агента — критично для IoT и АСУ ТП. - **Гостевой доступ и BYOD.** Порталы самостоятельной регистрации, временные учётные записи, изоляция личных устройств. - **Оценка соответствия (posture).** Проверка состояния хоста — антивирус, обновления, шифрование — до выдачи доступа. - **Динамическая сегментация.** Назначение VLAN, ACL или тегов (например, по модели SGT/TrustSec у Cisco) в зависимости от роли и состояния устройства.
Почему замену NAC в России собирают из нескольких решений
Уход западных вендоров совпал с ужесточением регуляторики: для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора переход на доверенные отечественные средства защиты стал требованием, а не пожеланием. Продлевать подписки на Cisco ISE, Aruba ClearPass или Forescout в штатном режиме нельзя, обновления и поддержка недоступны, а обходные схемы несут юридические и операционные риски.
Но есть и вторая особенность. Класс NAC в России **моложе**, чем NGFW или SIEM: единого зрелого продукта, который «из коробки» повторял бы весь функционал Cisco ISE, на рынке пока меньше, чем хотелось бы. Поэтому на практике замену собирают комбинацией: RADIUS и 802.1X закрывают NGFW и сетевые шлюзы, профилирование и видимость — системы инвентаризации и мониторинга, динамическую изоляцию — микросегментация. Это нормальная стратегия, но она требует более тщательного проектирования архитектуры, чем простая замена одного устройства.
Замена западных NAC в России: коротко в цифрах
Cisco ISE, Aruba ClearPass, Forescout — поставки и поддержка свёрнуты
Прямого «коробочного» аналога нет, собирают из нескольких решений
Переход требуют 187-ФЗ и приказы ФСТЭК
Безагентная видимость устройств без агента — проверять на пилоте
Функция западного NAC → отечественный класс и кандидаты
Ниже — ориентир по тому, чем закрывать каждую функцию Cisco ISE, Aruba ClearPass и Forescout. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/nac-microsegmentation). Вендоры приведены как ориентир — конкретный состав решения зависит от вашей сетевой инфраструктуры.
| Функция западного NAC | Отечественный класс решения | Кандидаты (ориентир) |
|---|---|---|
| 802.1X / RADIUS-аутентификация | NGFW и сетевые шлюзы с RADIUS, серверы аутентификации | UserGate, Ideco, Eltex |
| Профилирование и видимость устройств | Системы инвентаризации и мониторинга сети | UserGate, Eltex |
| Безагентный контроль IoT/АСУ ТП | Промышленный мониторинг, средства видимости ОТ-сетей | специализированные ОТ-решения |
| Гостевой доступ и BYOD | Порталы гостевого доступа на шлюзе/Wi-Fi-контроллере | UserGate, Eltex, Ideco |
| Динамическая сегментация / изоляция | NGFW + микросегментация | UserGate, С-Терра |
| Защищённый доступ и ГОСТ-каналы | VPN-шлюзы с ГОСТ-криптографией | С-Терра, Eltex |
Что проверять при замене NAC на практике
Функционально отечественные решения закрывают значительную часть контура Cisco ISE и Forescout, но успех миграции определяют детали интеграции с вашей сетью:
- **802.1X и RADIUS под вашу инфраструктуру.** Проверьте поддержку нужных методов EAP, работу с вашими коммутаторами и точками доступа, отказоустойчивость RADIUS-серверов. - **Глубина профилирования.** Насколько точно решение классифицирует устройства без агента — особенно нетипичные (камеры, принтеры, ПЛК). Это историческая сила Forescout, и именно здесь чаще всего проседают замены. - **Интеграция с коммутаторами и Wi-Fi.** Динамическое назначение VLAN/ACL, CoA (Change of Authorization), совместимость с парком вашего сетевого оборудования. - **Гостевой доступ и BYOD.** Порталы самостоятельной регистрации, спонсорский доступ, изоляция личных устройств, время жизни сессий. - **IoT и АСУ ТП.** Безагентная видимость и сегментация ОТ-сегмента без вмешательства в работу промышленных протоколов. - **Криптография по ГОСТ.** Если нужны защищённые каналы по требованиям регулятора — это сильная сторона ряда российских решений.
Готовность отечественной замены NAC по функциям
Усреднённая редакционная оценка готовности класса решений по открытым данным. Это не вендорский бенчмарк и не заменяет пилот в вашей сети.
Чек-лист выбора замены NAC
План миграции с западного NAC: 6 шагов
-
01
Инвентаризация политик
Выгрузите профили, правила доступа, политики 802.1X и сегментации с Cisco ISE / Aruba ClearPass / Forescout.
-
02
Карта функций
Разложите текущий NAC на функции и сопоставьте с отечественными классами решений.
-
03
Шорт-лист и пилот
2–3 связки кандидатов, пилот на тестовом сегменте, проверка профилирования и 802.1X.
-
04
Перенос политик
Конвертация правил доступа, чистка устаревших, проверка избыточных разрешений.
-
05
Параллельный режим
Внедрение в режиме мониторинга на части сети, сверка событий, обкатка изоляции.
-
06
Переключение и вывод
Поэтапный перевод сегментов, контроль инцидентов, вывод западного NAC из эксплуатации.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом NAC и микросегментации](/rating/nac-microsegmentation): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Определились с функциями под замену — переходите к сравнению поставщиков: **[рейтинг NAC и микросегментации →](/rating/nac-microsegmentation)**. Полезно прочитать рядом: [NAC и микросегментация по модели Zero Trust](/research/nac-i-mikrosegmentaciya-zero-trust), [рейтинг российских NAC 2026](/research/reyting-rossiyskih-nac-mikrosegmentaciya-2026) и [микросегментация ЦОД и АСУ ТП](/research/mikrosegmentaciya-cod-asu-tp-kak-vybrat).
Частые вопросы
Есть ли прямой российский аналог Cisco ISE или Forescout?
Единого «коробочного» аналога, повторяющего весь функционал, на рынке пока меньше, чем хотелось бы: класс NAC в России моложе. На практике замену собирают комбинацией решений — NGFW и шлюзов с RADIUS, систем видимости и инвентаризации, средств микросегментации.
Можно ли просто продлить подписку на Cisco ISE или Aruba ClearPass?
В штатном режиме — нет: вендоры свернули поддержку и обновления, а обходные схемы несут юридические и операционные риски. Для КИИ и госсектора это к тому же противоречит требованиям к доверенным средствам защиты.
Что сложнее всего заменить из функций Forescout?
Чаще всего — безагентное профилирование и видимость устройств, особенно нетипичных (IP-камеры, принтеры, ПЛК) и сегментов IoT/АСУ ТП. Это историческая сила Forescout, и именно здесь проверяйте кандидатов на пилоте внимательнее всего.
Нужно ли менять коммутаторы при переходе на отечественный NAC?
Не обязательно, но проверять совместимость нужно. Ключевые вопросы — поддержка 802.1X, динамическое назначение VLAN/ACL и CoA на вашем сетевом оборудовании. Это выясняется на этапе пилота.
Где сравнить конкретных вендоров между собой?
В рейтинге NAC и микросегментации — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
Cisco ISE, Aruba ClearPass и Forescout закрывали в корпоративной сети целый контур: контроль сетевого доступа (NAC), аутентификацию по 802.1X через RADIUS, профилирование устройств, безагентную видимость и допуск к сети по политике. После 2022 года поставки и поддержка этих продуктов в России свернуты, а на значимых объектах их использование вступает в конфликт с требованиями к доверенным средствам защиты. **Если коротко:** прямого «коробочного» аналога Cisco ISE или Forescout в России пока нет — рынок NAC здесь моложе. Но функции этих платформ закрываются комбинацией отечественных решений: NGFW и шлюзов с RADIUS, систем инвентаризации и видимости, средств микросегментации. Замена планируется не «продукт на продукт», а «функция на функцию». Ниже — что именно закрывали западные NAC, чем это закрывать сейчас, что проверять при выборе и как мигрировать. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге NAC и микросегментации](/rating/nac-microsegmentation).