исследование 3 июня 2026

Чем заменить Zscaler, Netskope и Cisco Umbrella в России

Zscaler, Netskope и Cisco Umbrella закрывали в России безопасный доступ в интернет и к облачным сервисам по модели SASE/SSE: защищённый веб-шлюз (SWG), фильтрацию DNS, облачный прокси, брокер облачной безопасности (CASB) и доступ к приложениям без VPN (ZTNA). После 2022 года эти облачные платформы фактически недоступны — поставки, поддержка и доступ к зарубежным облакам свёрнуты, а сам принцип «весь трафик идёт через иностранное облако» противоречит требованиям к локализации и доверенным средствам защиты. **Если коротко:** цельного отечественного SASE «в одной платформе из облака», как у Zscaler, в России пока почти нет. Зато контур закрывается **по компонентам**: SWG и прокси (Solar webProxy, UserGate), DNS-фильтрация (SkyDNS и др.), функции CASB и ZTNA — частично отдельными продуктами. Замена — это не «купить аналог», а собрать архитектуру из российских классов решений под ваши сценарии. Ниже — что именно отвалилось, чем закрывать каждый компонент и как спланировать переход. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге SASE/SSE/CASB/SWG](/rating/sase-sse-casb-swg).

9 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Чем заменить Zscaler, Netskope и Cisco Umbrella — Тематическая иллюстрация к исследованию: Чем заменить Zscaler, Netskope и Cisco Umbrella. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что закрывали Zscaler, Netskope и Cisco Umbrella

Все три продукта — это облачная модель безопасности доступа (SASE/SSE), где трафик сотрудников идёт не через локальный шлюз, а через распределённое облако вендора. На практике они закрывали несколько разных задач, и при замене важно разделить их, а не искать один «аналог целиком».

- **Zscaler** — облачный SWG и ZTNA: проксирование и инспекция веб-трафика (включая TLS), контроль доступа к приложениям без классического VPN, защита от веб-угроз и утечек. - **Netskope** — сильный CASB и SSE: видимость и контроль облачных приложений (SaaS), DLP в облачном трафике, инспекция API облачных сервисов, веб-шлюз. - **Cisco Umbrella** — в первую очередь фильтрация на уровне DNS и облачный SWG: быстрая блокировка вредоносных доменов, базовый контроль доступа в интернет для распределённых и удалённых пользователей.

После ухода вендоров отвалилось главное — **доступ к их облаку**: обновления, поддержка, threat-фиды и сама точка инспекции трафика за пределами РФ. Поэтому замена строится вокруг вопроса «какой компонент нам реально нужен», а не «чем заменить бренд».

Замена SSE/SWG/CASB в России: коротко в цифрах

Ушли с рынка 3

Zscaler, Netskope, Cisco Umbrella — облачный доступ и поддержка свёрнуты

Заменяемых компонентов 4

SWG/прокси, DNS-фильтрация, CASB-функции, ZTNA

Цельный SASE из облака почти нет

В РФ чаще собирают по компонентам, а не одной платформой

Типичный пилот 3–6 нед.

Проверка инспекции TLS и облачных приложений под вашим трафиком

Почему «один аналог» не подойдёт: замена по компонентам

Главная ловушка при замене Zscaler/Netskope/Umbrella — искать одно отечественное решение, которое закроет всё сразу. В российской реальности цельной облачной SASE-платформы такого уровня практически нет, а сам сценарий «весь трафик в чужое облако» для многих организаций неприемлем по требованиям к локализации и КИИ. Поэтому контур разбивается на компоненты:

- **SWG / облачный или локальный прокси** — инспекция веб-трафика, веб-фильтрация, расшифровка TLS, защита от веб-угроз. Это ядро замены Zscaler/Umbrella по веб-доступу. - **DNS-фильтрация** — быстрая блокировка вредоносных и нежелательных доменов; ближайший по логике аналог ключевой функции Cisco Umbrella. - **CASB-функции** — видимость и контроль облачных/SaaS-приложений, DLP в облачном трафике; самый «дефицитный» компонент, часто закрывается частично или через DLP/прокси. - **ZTNA** — доступ к внутренним приложениям без классического VPN по принципу нулевого доверия; в РФ закрывается отдельными решениями и развивается активнее всего.

Ниже — ориентир «западное решение → отечественный класс и кандидаты». Это не рейтинг и не утверждение об эквивалентности: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/sase-sse-casb-swg).

Что заменяем	Ключевая функция	Отечественный класс	Кандидаты-ориентиры
Zscaler (ZIA)	Облачный SWG, прокси, инспекция TLS	SWG / прокси	Solar webProxy, UserGate
Cisco Umbrella	Фильтрация на уровне DNS	DNS-фильтрация	SkyDNS и др.
Netskope	CASB, контроль SaaS, облачный DLP	CASB-функции / DLP	Закрывается частично (DLP + прокси)
Zscaler (ZPA)	Доступ к приложениям без VPN (ZTNA)	ZTNA	Отдельные российские ZTNA-решения

Чем российская замена отличается на практике

Функционально по отдельным компонентам российские продукты способны закрыть веб-доступ, DNS-фильтрацию и базовый ZTNA. Но «облачная SASE-логика» Zscaler и Netskope в РФ воспроизводится не один в один — и именно эти отличия определяют успех проекта:

- **Архитектура: облако vs локально.** Западные SSE — это сервис из глобального облака. В РФ чаще ставят локальный/частный прокси и шлюз on-premise или в российском облаке; глобальной сети точек присутствия (PoP) под мобильных пользователей по миру нет. - **Инспекция TLS и масштаб.** Расшифровка и инспекция HTTPS под высокой нагрузкой — ресурсоёмкая задача; паспортные цифры и реальные под включённой инспекцией различаются. Требуйте замеры под ваш профиль трафика. - **CASB — самое узкое место.** Глубокая видимость SaaS, инспекция API облачных сервисов и DLP в облаке у российских решений развиты слабее, чем у Netskope; часть закрывается связкой DLP + прокси, а не отдельным зрелым CASB. - **ZTNA развивается быстрее всего.** Доступ к приложениям без VPN — направление, где отечественные решения активно догоняют; проверяйте поддержку нужных сценариев и агентов. - **Управление распределёнными пользователями.** Удалённые сотрудники и филиалы, единая политика и отчётность — частое узкое место при сборке из компонентов; проверяйте отдельно.

Готовность компонентов замены SSE/SWG/CASB в России

Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем трафике.

DNS-фильтрация 85 /100

85 /100

SWG / веб-прокси 80 /100

80 /100

Веб-фильтрация и контроль доступа 80 /100

80 /100

Расшифровка и инспекция TLS 70 /100

70 /100

ZTNA (доступ без VPN) 65 /100

65 /100

CASB / контроль SaaS-приложений 50 /100

50 /100

Цельная облачная SASE-платформа 35 /100

35 /100

Чек-лист перехода с Zscaler / Netskope / Umbrella

Разложите задачи по компонентам отдельно SWG/прокси, DNS-фильтрация, CASB и ZTNA, а не «аналог целиком».

Определите модель развёртывания локально, в частном или российском облаке; оцените сценарий удалённых пользователей.

Запросите производительность с включённой инспекцией TLS паспортные цифры и реальные под расшифровкой различаются.

Проверьте покрытие SaaS для CASB какие облачные приложения реально контролируются, есть ли DLP в облачном трафике.

Оцените ZTNA-сценарии агенты, поддерживаемые ОС, доступ подрядчиков и публикация внутренних приложений.

Сверьте статус в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу и требования к КИИ.

Заложите пилот на вашем трафике (3–6 недель) до тендера, а не после, с проверкой инспекции и облачных приложений.

Сравните вендоров по подтверждённым внедрениям в [рейтинге SASE/SSE/CASB/SWG](/rating/sase-sse-casb-swg).

План перехода на отечественные решения: 6 шагов

01 Инвентаризация
Выгрузите, что реально используется в Zscaler / Netskope / Umbrella: веб-политики, списки фильтрации DNS, контролируемые SaaS, ZTNA-приложения.
02 Разбивка по компонентам
Разделите контур на SWG/прокси, DNS-фильтрацию, CASB и ZTNA — для каждого свой кандидат и свой пилот.
03 Шорт-лист и пилот
2–3 кандидата на компонент, пилот на копии трафика, замер производительности с включённой инспекцией TLS.
04 Перенос политик
Конвертация веб-правил и списков фильтрации, чистка устаревших, проверка избыточных разрешений и теневого доступа.
05 Параллельный режим
Внедрение в режиме мониторинга/частичного трафика, сверка событий, обкатка инспекции и облачного доступа.
06 Переключение и вывод
Поэтапный cutover по группам пользователей и сегментам, контроль инцидентов, отказ от зарубежного облачного сервиса.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом SASE/SSE/CASB/SWG](/rating/sase-sse-casb-swg): здесь — рынок и критерии замены, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разложили задачи по компонентам — переходите к сравнению поставщиков: **[рейтинг SASE, SSE, CASB и SWG →](/rating/sase-sse-casb-swg)**. Полезно прочитать рядом: [разбор облачной модели SASE/SSE/CASB/SWG](/research/sase-sse-casb-swg-razbiraemsya), [рейтинг SSE и Secure Web Gateway 2026](/research/reyting-sse-swg-rossiya-2026) и [как выбрать CASB](/research/casb-kak-vybrat-broker-oblachnoy-bezopasnosti).

Частые вопросы

Есть ли в России полный аналог Zscaler «из облака»?

Цельной облачной SASE-платформы такого уровня в РФ практически нет. Контур Zscaler закрывают по компонентам: облачный или локальный SWG/прокси с инспекцией TLS — для веб-доступа, отдельные решения — для ZTNA. Это сборка архитектуры, а не покупка одного «аналога целиком».

Чем заменить Cisco Umbrella по фильтрации DNS?

Ближайший по логике класс — российские сервисы DNS-фильтрации (SkyDNS и др. как ориентир), которые блокируют вредоносные и нежелательные домены. Это один из самых готовых компонентов замены; конкретного вендора выбирайте по покрытию категорий, производительности и статусу в реестре.

Что делать с функциями CASB, которые закрывал Netskope?

CASB — самый дефицитный компонент в РФ. Полноценной замены уровня Netskope по глубине контроля SaaS и облачного DLP пока мало; на практике задачу закрывают частично — связкой DLP-системы и прокси/SWG. Заранее уточняйте, какие именно облачные приложения нужно контролировать.

Можно ли продолжать пользоваться Zscaler или Umbrella в России?

В штатном режиме — нет: доступ к зарубежному облаку, поддержка и обновления свёрнуты, а сам принцип маршрутизации всего трафика через иностранное облако противоречит требованиям к локализации и доверенным средствам защиты для КИИ и госсектора.

Сколько занимает переход?

От нескольких недель для одного компонента (например, DNS-фильтрации) до нескольких месяцев для полной пересборки веб-доступа, CASB и ZTNA в распределённой сети. Критичны пилот и параллельный режим — они убирают риск простоя при переключении.

Где сравнить конкретных вендоров между собой?

В рейтинге SASE, SSE, CASB и SWG — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг SASE, SSE, CASB и SWG Сравнить поставщиков по подтверждённым сигналам SASE, SSE, CASB, SWG: разбираемся в облачной модели Рейтинг SSE и Secure Web Gateway 2026 CASB: как выбрать брокер облачной безопасности