По итогам прошлого года мы на втором месте в России, если считать в деньгах, по выручке. Первое место занимает компания «Базис», 4,6 млрд (выручки) — мы закончили прошлый год с результатом 3,25 млрд. Соответственно, немножечко отстаем.

На текущий момент у нас база инсталляции 14 тысяч хостов, это примерно 2,5 тысяч стоек. Достаточно много. Я думаю, до 20 тысяч хостов в этом году добежим. Это примерно уже будет 25% рынка базы инсталляции VMware на начало СВО.

С коллегами пересекаемся только в заказчиках Ростелекома. В остальном рынке коммерческом с «Базисом» не пересекаемся. На самом деле, считаем их продажи каптивными. Каптивные – это значит, сколько от Ростелекома получилось получить заказов, столько и получилось реализовать и добежать до какой-то выручки.

На третьем месте, согласно отчету за прошлый год, видим компанию «Астра». 1,5 млрд — в СМИ была озвучена цифра, это итоги по виртуализации. В целом продукт «Брест» в этом году на рынке практически не видели. Две сделки из тысячи — продукт, как класс, по сравнению с прошлым годом, пропал с рынка, но при этом достаточно активно коллеги работают с продуктом VMmanager.

VMmanager запустили не так давно. Основные виртуализации, с кем мы пересекаемся на рынке, кто-то в 2013-м, кто-то в 2018-м, кто-то в 2020 году начал развивать. «Астра» чуть позже начала развивать свой продукт VMmanager, и мы на самом деле склоняемся к тому, что на третьем месте на рынке виртуализации представлена компания «ДАКОМ М» с продуктом SpaceVM. Мы в три с половиной раза по выручке опережаем SpaceVM.

Из тех, кого еще видим на рынке — компания РЕД СОФТ со своим продуктом по виртуализации. РЕД Виртуализация – это 260 млн рублей, что в 13 раз меньше, чем у нас. Все остальные игроки на рынке – это порядка 20-22% вместе взятые.

То есть, рынок достаточно укрупнился. Я с большим удивлением услышал цифру, что оказывается [по состоянию] на июль 2025 года на рынке — 92 продукта по виртуализации в реестре. И вы видите на слайде картину рынка и то, как этот рынок за 3,5 года укрупнился.

Давайте пойдем дальше. Два слова расскажу про нас. Мы не так давно перешагнули границу в 500 уникальных заказчиков, и считаю, что выборка, которая представлена сейчас на слайде на экране, достаточно хорошо отображает реальное состояние рынка и те отрасли, которые присутствуют и импортозамещаются.

Я скажу так, давайте не будем врать и придумывать какие-то небылицы. Мы видим то, что ключевой сценарий импортозамещения сейчас в России – это критическая инфраструктура. Практически все крупные активности — это критическая инфраструктура. Меньше активности, связанные с персональными данными, с государственными информационными системами (хотя ГИСов тоже много), и еще меньше тех, кто в рамках коммерческого сектора без КИ смотрит на какие-то системы. Они действительно сильно отстают от КИ.

Какие три отрасли сильнее всего выбились вперед? Это нефтегазохим, энергетика и финансы. Сильно в этом году догоняет госсектор. У нас в портфеле Orion soft [разделение по долям] будет примерно 20-20-20-20: это нефтегазохим, финансы, энергетика и госсектор.

При этом, из интересного: бывает, у некоторых вендоров 2-3 заказчика составляют 60-70% пакета. У нас самый крупный заказчик составляет не более 7%. То есть, достаточно хороший, диверсифицированный портфель.

Расскажу про вещь одну, которую сильно заметили в прошлом году. Называется замещение импортозамещения — когда замещают одни российские [решения] из реестра виртуализации и другие. У нас 26% в структуре выручки прошлого года — это замещение не VMware и Microsoft, это замещение других платформ виртуализации.

— Максим, а это тенденция вот прям того года?

Она в этом году еще усилилась.

Во-первых, это вопрос безопасности, во-вторых, вопрос масштабирования. Когда заказчики выбирали то или иное решение — они смотрели на 5-7 хостах: классно работало, классный интерфейс, где-то похож на VMware, привычно, и выбирали тот или иной продукт. Начали масштабироваться на небольших задачах, 10-15 хостов, начали проблемы происходить, сыпаться с потерей данных, и рынок начал перераспределяться. Вот это масштабирование, серьезные нагрузки несинтетические, они расставили все по своим местам, и рынок еще сильнее укрупняется.

Давайте посмотрим на примере, почему мои слова про то, что 500 заказчиков отражают положение на рынке. Следующий мой слайд про топ-100 Forbes по чистой прибыли за прошлый год. Слева – отрасли, которые входят в топ-100, справа, соответственно, сколько компаний в топ-100 вошло. 14 [компаний] нефтегазохима, 20 финансов, зелененькое – это где zVirt в стандарте, 23 компании, и еще 36 тестируют.

Видно, что нефтегазохим, финансы, энергетика – проникновение, в общем-то, порядка 75%. Это компании, которые либо уже выбрали решение по импортозамещению, либо сейчас присматриваются. Это сильно бьется с предыдущим слайдом, где я рассказывал про распределение по отраслям, и это вот взгляд со стороны. Кажется, Forbes топ-100 – достаточно показательная история для российского рынка.

К сожалению, РБК топ-500, последний отчет за 2021 год – уже бессмысленно на него опираться, уже много воды утекло, поэтому мы опираемся на Forbes.

;

End of life VMware vSphere 7.x

— Получается, помимо классических регулируемых сегментов рынка – энергетика, финансы, нефтегазохим, подтягиваются и открытые сегменты рынка, не настолько сильно регулируемые, тоже проявляют интерес к импортозамещениям на этом рынке. Правильно?

Да, давай расскажу про это подробнее.

Активно, наверное, с марта-апреля [мы] рассказываем в рынок про то, что происходит в мире, в частности – с вендором VMware. Как это связано с информационной безопасностью, почему мы сегодня на эфире это подробно разберем и почему это связано с вопросом про другие отрасли, которые менее зарегулированы. Например, те же самые девелоперы, ритейл, которые на слайде были внизу – соответственно, проникновение, импортозамещение было меньше.

Давайте про VMware на слайде поговорим. Короткая историческая справка. Постараюсь рассказать «от печенегов», как вот все закрутилось, завертелось, и мы добежали до 2025 года.

СВО началось в марте 22-го года. VMware ушел с российского рынка. Был портал, на котором можно было смотреть все купленные программные продукты, скачивать обновления, баг-фиксы и security patch. Мы сегодня про ИБ много говорим – давайте прям в контексте ИБ эту хронологию разберем.

Вендор ушел, доступ к порталу заблокирован. Все компании, которые сейчас на рынке живут на VMware – они перестроились. В принципе, сценарий практически не менялся с начала блокировки, с марта 2022 года. Это какие-то ближние страны – Казахстан, Узбекистан: там открывается небольшое юрлицо, через которое получаются обновления, как-то передаются в Россию. С точки зрения информационной безопасности заплаток все это, в общем-то, поддерживается. И, на самом деле, целая ниша появилась интеграторов России. Раньше заказчики покупали поддержку у вендора – сейчас они покупают такую поддержку у интегратора, который как-то достает обновления и работает с ними. Русские люди – они выживальщики, молодцы, в смысле, сильный народ. И мы эту историю научились поддерживать.

Давайте теперь прямо с конца. Что произойдет 2 октября 2025 года?

У VMware есть седьмая версия продуктов основных – это виртуализация серверов, сетей и дисков, vSphere, vSAN, NSX-T. [Для версии 7.0] будет end of general support 2 октября 2025 года. 80% рынка живет на «семерке», потому что, вот как видно на слайде, «восьмерка» вышла в августе 2023 года. То есть, через полтора года после начала СВО. Много времени прошло.

Я знаю, что порядка 20% рынка на «восьмерку» успели перейти. Не буду рассказывать, как, но перешли. В смысле, русские люди как бы все умеют. Молодцы. Но 80% рынка живет на «семерке». Значит, будет через месяц end of general support «семерки». Что это значит?

Я рассуждал очень обывательски: «продукты вышли в 2020 году, значит, все, что можно было с точки зрения уязвимости в них найти, найдено». Не так. Спасибо коллегам из Код безопасности – что ребята сделали? Они говорят: «Максим, не так». Раз в 3-4 месяца находят уязвимость. Уязвимость мерят по шкале по 10-бальной. И за прошлый год, если скользящим окном год взять до сегодняшнего дня, было 4 уязвимости, [с оценками] 9,3, 9,5, 9,7. То есть, получить доступ к данным – соответственно, их можно украсть, зашифровать, требовать за них выкуп. Достаточно серьезная история. Если у нас 2 октября во всем мире перестают выходить патчи, значит, что уже в январе-феврале, скорее всего, найдут какую-то уязвимость, которую нечем будет закрыть.

Соответственно, будет 4 сценария, как себя можно будет вести с точки зрения информационной безопасности.

Первое. «Мы не такие большие, нас ломать не будут, мы ничего не будем делать». И вот смеетесь, а это очень распространенный сценарий. Прям достаточно.

— Вы смотрите, коллеги, а вам здесь скажут наверняка наши зрители, что end of general support означает, что там основное развитие продукта, очевидно, закончено, но критические какие-то обновления в случае багов все равно будут обеспечиваться. Наверное, люди на это будут надеяться, что VMware не бросит.

Только на платной основе для западных заказчиков за дополнительные деньги. И это в формате one-to-one делается. То есть, это не one-to-many как бы на рынок.

— Да, и вот пока не ушли дальше, Максим, из чата вопрос, а почему на твоем слайде нет телекома? Им не интересны отечественные решения? Вроде как бы тоже КИИ, вроде как должны импортозамещаться. Наверняка у них там сплошная VMware. Почему их нет?

Сделки, которые были из большого телекома, они достаточно небольшие. Основные сделки по телекому в этом году будут. Подтягиваются.

— У телекома еще комментарии связаны с тем, что, как правило, у телеком-провайдера рядом есть облачный провайдер, а облачный провайдер, как правило, использует что-то OpenStack-образное для того, чтобы построить публичное облако. Публичное облако отпочковывается, так сказать – небольшой кусочек публичного облака, в котором крутится инфраструктура провайдера.

Это есть специфика, связанная с тем, что это тоже один из трендов, что давайте крупный Enterprise себе сделают собственную операционную систему, собственную среду виртуализации, собственные свитчи, если мы говорим про гиперскейлеров, это такая довольно популярная история. И это, наверное, некоторым образом отложенный спрос, потому что где-то это выстрелит, а где-то это очевидно нет, потому что очень специфичная нагрузка. И это, скорее, следующие большие проекты.

;

Как заказчики реагируют на end of life 7.x?

Четыре сценария как заказчики будут в России реагировать.

Сценарий номер один: ничего не делать, мы его сейчас подробно обсудили.

Второй сценарий: закрывать периметр. Когда ты закрываешь периметр, это увеличение комплексности, сложности решения, и там уже на человеческом факторе где-то можно поломаться, но это как один из путей.

Третий вариант: каким-то образом на «восьмерку» переходить, сейчас подробнее поговорим.

И четвертый вариант: хотя бы начинать пробовать импортозамещаться.

Значит, давай про третий сценарий, про «восьмерку» поговорим. Немножко хронологии: Broadcom купил VMware, в феврале 2024 года все новые лицензии перешли на подписку. При этом лицензии старые – они perpetual называются, вечные лицензии, которые на всю жизнь покупаются, или ты продлеваешь саппорт – вендор сказал, что будем продлевать. Прошло полтора года, меньше даже, и в мае 2025 года вендор сказал, что я передумал, если у вас саппорт заканчивается на ранее купленные вечные perpetual лицензии, то у вас единственный способ –перейти на подписку. Альтернатив нет.

И последняя история на текущий момент. «А еще у нас были SDN-сети, где можно было по всему миру быстро скачивать наше ПО – мы их закрываем. И теперь у нас единый американский сервер, откуда можно скачивать софт обновления, багфиксы, security patch. Все скачивания мы теперь просим через ваш личный портал подписывать токенами. По сути, подписываться а-ля электронной цифровой подписью: кто, где, когда, на каком рынке, какой продукт скачал». Русские люди смогут каким-то образом через разные обходные схемы скачивать обновления. Наверное, да, это как черное и белое, просто сложнее будет. Но чтобы перейти на «восьмерку», по-хорошему, нужна подписка.

Вот тут статья на CNews, интересная, на прошлой неделе вышла про американский подводный флот, про подлодки. Я выписал даже себе цитату, маленький абзац, я прям прочитаю, чтобы было понятно из первоисточника.

В чем проблема? Для того, чтобы инфраструктура на «восьмерке» нормально работала, нужно раз в месяц выходить на связь с серверами лицензирования в Америке и говорить: «я живой», соответственно, платить денежку. Если не выйти, то, вот цитата, «невозможность связаться с серверами VMware в срок ведет к аннулированию лицензий и утрате работоспособности инфраструктуры, завязанной на ПО компании, что в случае с такими объектами как подводная лодка совершенно недопустимо, а значит и применение этого ПО на подобных условиях тоже недопустимо».

И в Америке сделали историю, что для подлодок сделали исключение: надо с серверами VMware связываться хотя бы раз в полгода. Понятно, что для наших заказчиков никто исключения делать не будет и жизнь по подписке с теми вещами, которые происходили после СВО – она опасная. И поэтому, как перейти на «восьмерку» и получать обновления – большой вопрос. Это вот если говорить про VMware.

;

Отечественное ядро и безопасная разработка в zVirt

Дальше я хотел немножко порассуждать уже про конкретные прикладные вещи, про ядро, операционную систему, вообще безопасную разработку ПО. Переходим, наверное, к zVirt и к большим стратегическим вещам, которые мы делаем.

Значит, первая история. Мы первыми из всех виртуализаций в стране перешли на ядро Linux ИСП РАН версии 6.51. Практически весь рынок сейчас живет на последней CentOS Red Hat версии ядра 4.18. Ему порядка двух лет. Когда вы живете на каком-то куске продукта, который два года не обновлялся – естественно, в нем достаточно много накопилось брешей информационной безопасности. Мы перешли на ИСП РАН-овское российское ядро, и уверен, что и операционная система виртуализации, и все со временем туда перейдут.

– С точки зрения заказчика – это что им дает?

Если кратко: один из основных компонент zVirt и вообще в целом серверной виртуализации – ядро операционной системы. Соответственно, есть модули вокруг операционной системы – тот же самый КВМ, гипервизор виртуализации – и ядро это одна из компонент, которую можно атаковать. В ней тоже есть уязвимости. Мы ее обновили, она сейчас на два года более свежая, чем в целом по рынку.

Вторая вещь, которая лежит вокруг ядра – это модуль операционной системы. У нас, например, в ФСТЭК-версии zVirt Max используется РЕД ОС сертифицированный. И есть такая проблема, такой архитектурный вопрос: в операционной системе вот этих модулей, которые нужны для работы операционки, их раз в 20 больше, чем нужно для работы виртуализации. То есть 19 из 20 модулей, которые входят в операционку – они не нужны для работы zVirt и вообще в целом для виртуализации.

У нас большое такое стратегическое направление: мы после Нового года планируем перейти на свою операционную систему полностью, из которой мы уберем до 95% лишних модулей. Это будет очень похоже на то, как работает VMware ESXi. В чем преимущество ESXi? Из-за того, что в нем нет ничего лишнего – он очень легкий, он очень производительный. И второе, если говорить в контексте информационной безопасности, когда вы 95% кода убираете, у вас площадь поверхности атаки сопоставимо сокращается. Такие, знаете, марафонцы, подсушенные, ничего лишнего. Чисто утилитарная машина для работы по виртуализации. Соответственно, после перехода на новое ядро, на которое мы не так давно перешли, мы идем к собственной операционной системе. Это очень похоже будет на ESXi.

И если все это дело еще сильнее расширить, у нас в этом году появился директор по безопасной разработке программного обеспечения, целая команда. И мы эту историю активно внедрили, внедряем во все наши продукты. Что это такое и что это представляет?

Безопасная разработка – это процесс, который нельзя закончить. То есть, это не проектная история, где можно – «как бы всё, у нас разработка безопасная, мы ее сделали и вот теперь работаем». Это – процесс. То есть, постоянно какие-то новые уязвимости появляются, какая-то регуляторика, всё постоянно надо изменять. Я просто на пальцах расскажу, что это за процессы, прям с примерами, как это отражается на продуктах.

Безопасная разработка – она на всех циклах. Это и принятие решения о старте продукта, проектирование, разработка, эксплуатация, и даже такие вещи, как вывод продукта с рынка. Вот давайте прям примеры.

При проектировании что закладывать, про что думать в рамках безопасной разработки? Это какие мы события логируем, нужна нам двуфакторная аутентификация или нет, нужно нам проверять на целостность или нет. Вот такие вещи все закладываются при проектировании. Например, анализ компонентов: какие компоненты закладывать, какие нет, какие дублирующие, какие можно заменить на более какие-то стандартные для того, чтобы те же самые средства информационной безопасности потом, когда с этим продуктом работали, кучу алертов, логов лишних, false не делали. Вот такие вещи.

В рамках разработки: эксплуатация. В эксплуатации на какие вещи смотрим? Контроль целостности, цепочек поставок, вот эта история. Допустим, в эксплуатации мы пошли одним из первых в России в части виртуализации в Bug Bounty. Тоже про это сегодня поговорим. Мы за деньги в наших продуктах, фактически белыми силами белых хакеров, ищем уязвимости и платим за это гонорары, если что-то такое [находим].

– А сколько программы на Bug Bounty у вас уже идет?

Мы про нее не распространялись, потому что хотели посмотреть на первый результат, и, если честно, год-полтора она уже идет. Где-то полгода назад мы начали про нее активно рассказывать, потому что уже достаточно большие гонорары стали. И все равно уязвимостей не так много находят, поэтому мы уже чуть успокоились и начали про это больше рассказывать. Соответственно, с точки зрения безопасной разработки, вот такая практика у нас внедрена в компанию.

;

Поддержка российского железа

— Максим, несколько вопросов в режиме блиц по железу. Планы поддержки процессоров Эльбрус, RISC-V, и в тему RISC-V — аналоги x86 китайского производства, ну, очевидно, наверное, тоже RISC-V, может быть, там, АРМы какие-нибудь. Вот в эту сторону работаете?

Два ответа.

Значит, первый ответ: мы работаем с тем, за что заказчики платят деньги. Пример: 11 заказчиков, в основном около-госы, пришли к нам и сказали: «ребята, вы сделали катастрофоустойчивость, мы хотим, чтобы она работала не на уровне гипервизора, а на уровне железа, чтобы вы поддерживали аппаратную репликацию». YADRO со своей стороны на уровне TATLIN второго поколения сделали аппаратную репликацию. Мы писали со своей стороны эту интеграцию больше года. Ребята со стороны железо под это меняли в том числе. И мы это реализовали, потому что заказчикам это нужно было сделать, и это достаточно хорошо монетизируется в этом году. То есть, это двунаправленный процесс с двух сторон. Это первое утверждение.

Второе утверждение. Про АРМы я услышал. Вот я в 2016-2017 году руководил достаточно крупным облачным провайдером российским. И все бегали: «АРМы, АРМы, надо делать, в Amazon пошло, очень большой тренд, за этим рынок, будущее». Есть очень мудрый совет. Нужно присмотреться за этими трендами, чтобы они немножечко настоялись и понять, какие все-таки стрельнули или нет. Потому что в Amazon, может быть, сейчас АРМы составляют 10-20% объема в 2025 году, а в России это 1%. И надо было в 2016-2017 году в эту тему идти или нет?

Поэтому многие вещи, которые ты сейчас произнес, мы все-таки на них пристально посмотрим, чтобы они настоялись, чтобы появились запросы от заказчиков, и если это будет массовый запрос, мы, конечно, на него отреагируем и реализуем. А реализовывать какие-то вещи ради того, чтобы они были в маркетинге, светиться, и на этом не зарабатывать не получится.

Еще раз, сейчас основная мысль. Сейчас на рынке виртуализации этап экспансии. Кто быстрее, эффективнее даст заказчику стабильные, безопасные, простые фичи, функции, которыми он будет пользоваться — [тот] и выиграет эту гонку на рынке за проникновение. И если сейчас идти и инвестировать деньги в какую-то экзотику, которая не монетизируется — это, на самом деле, проиграть в скорости бега и, может быть, проиграть в этой гонке. А мы хотим выиграть.

— Представляешь, какое было бы преимущество при розыгрыше тендеров? Заказчик всегда смог бы поставить условие, что нам нужны АРМы, и все тендеры бы выиграли.

Знаешь, сколько у нас всего сейчас реализовано уже в zVirt, именно для задач, озвученных тобой? У нас уже достаточно, нам не нужно. «У нас в сервере должно быть три CD-ROM-а». Нам не нужны такие галочки.

;

Кто из вендоров виртуализации останется на рынке к 2030?

— Как ты считаешь, к 2030 году сколько вендоров на рынке виртуализации российских останется? У тебя там по памяти, по-моему, сейчас вырисовывается такая большая четверка. Они останутся или, может быть, из них тоже кто-нибудь отвалится?

Можно порассуждать, кого мы видим. У нас сейчас под 20 тысяч хостов будет, это уже четверть всего замещенного VMware. Мы планируем остаться. «Базис» силен в заказчиках, с которыми работает «Ростелеком», много госсектора. С ними порой по определенным причинам сложно бороться, потому что не всегда борьба только в технической области идет. Может быть «Базис». Может быть «Астра», потому что они пошли по пути Microsoft, экосистемности вокруг операционки — соответственно, если справятся с этим вызовом, то может быть «Астра».

Я считаю, что более отставшие игроки, если ничего сверхъестественного не произойдет, не догонят, потому что эти разрывы увеличиваются. И, на самом деле, это же инвестиции. Заказчики платят, и это деньги, которые в подавляющем большинстве идут на развитие нового функционала, увеличение стабильности и так далее. Соответственно, эта история — как бы определяющая.

И еще одна вещь, [которую] хотел сказать, в честь холивара — «опираться на какие-то Open Source вещи или полностью с нуля разрабатывать». Я считаю, что баланс между тем, чтобы писать самому там, там где это нужно, это эффективно, и опираться на какой-то Open Source, не изобретать колесо в каких-то вещах, которые до тебя уже хорошо сделали. Будущее будет за теми игроками, которые будут писать сами, сочетать какие-то вещи из Open Source, делать их наиболее эффективно, быстрее других отдавать это в рынок. И, соответственно, вот именно эти игроки тоже еще увеличат отрыв. И те, кто бьет себя в грудь и говорит, что это наша разработка, мы сами все разработали с нуля, но они так и будут до 30-го года разрабатывать колесо, когда мы будем летать.

;

Программно-управляемые сети (SDN)

— У нас теперь секция про программно-определяемые сети. Скажи, во-первых, про SDN, чаще всего именно так эту штуку называют. Что это вообще такое и для чего это вообще нужно подавляющим большинству заказчиков? Потому что, с моей точки зрения, это все-таки остается пока некой экзотикой, может быть, удел совсем крупных инфраструктур. Так ли это или нет?

Давай расскажу. Сценарий два. Либо, как ты сказал — правда, крупные инфраструктуры, либо наоборот — небольшие. То есть, SDN не нужен заказчикам со средними инфраструктурами. Вот такое разбиение. Соответственно, давай про крупные инфраструктуры расскажу.

Вот у нас был банк. В нем использовались CISCO, Extreme [Networks]. Потом СВО случилось, это Eltex, QTECH там, Maipu китайцы — и получился зоопарк. Чтобы этим всем управлять, нужно заходить в консоли каждого устройства, либо на какие-то центральные консоли Cisco, Extreme, и это нужно держать разные команды, которые отвечают за разные куски «сетёвки». Там разные, соответственно, команды — это люди, и команды, которые мы вводим, там разные API-реквесты. И для того, чтобы с точки зрения информационной безопасности настроить доступы, быстро их выдавать, чем больше зоопарк — или в прошлой жизни это называлось гетерогенные среды — если среды гетерогенные, то а) ими сложно управлять, б) это долго, с) может с точки зрения информационной безопасности где-то просыпаться, потому что тут настроили, тут не настроили, здесь какие-то правила приехали, здесь не приехали. Это и долго, и чем больше нагруженность, комплексность — тем больше цена ошибки.

В этом случае SDN, программная реализация управления сетей, все эти вопросы решает. Я чуть-чуть расскажу, как это работает на следующем слайде.

На первом слайде хотел показать аналитику по рынку SDN в мире, она достаточно диверсифицированная. Многие знают SDN в России по VMware, по продукту NSX-T, но в мире на самом деле они даже до 50% не дотягивают.

— Я почему-то думал, они монополисты практически.

Оказывается, нет. У меня по прошлому месту работы богатый опыт с NSX-T, и это очень крутой продукт. Очень крутой.

Давайте про SDN чуть-чуть расскажу очень простым языком. Смотрите, у нас на схеме три сервера, есть какие-то коммутаторы, маршрутизаторы умные, я обозначил вот этот их «интеллект мозгами», которые живут на сетевом железе. То есть, надо на каждую консоль сетевого железа зайти, какие-то правила прописать, маршрутизации, правила доступа. И, как я уже сказал — чревато ошибками.

Что такое SDN? Это когда все сетевые функции полностью забираются с железа сетевого и они реализуются на программном уровне. На каждом сервере, особенно на сервере с управлением — если говорить про VMware, это был, vCenter, у нас Hosted Engine называется — появляется единое хранение и управление всеми правилами маршрутизации, политиками доступа и так далее. То есть, это реализовано на программном уровне, а все железо — вот эти тысячи портов, километры пачкардов — это просто транспорт.

Если в какую-то метафору из бытового мира перевести: смотри, у тебя есть Кутузовский проспект. На нем стоят стаканы, в них — сотрудники дорожно-постовой службы.И в мире до SDN едет кортеж, и надо каждому сотруднику звонить: «Петрович, открывай зеленый, Савельич, открывай зеленый». А еще «Петрович» и «Савельич» — они там CISCO и Extreme, они на разных языках говорят. Надо на разных языках говорить, можно ошибиться. Но это такой прям ручной процесс.

Что делает SDN? Это видеоаналитика, которая рассчитывает из центрального на садовом кольце ДПС ГАИ — когда приближается кортеж, когда что перекрыть, какую команду дать, мото-постам, чтобы они там перекрыли какие-то съезды. И это управление зеленым потоком и потоком кортежа — это происходит такое централизованное управление, это вот SDN. То есть, не надо на каждый светофор звонить. Там, условно, мутатор-маршрутизатор, и заниматься этим — это централизация.

Какие задачи SDN закрывает? Если вот прям коротко проговорить. Управлять каждой «железкой» не нужно, теперь все это делается на базе единых политик. Например, у тебя 5 вендоров железа, но ты всем этим железом, как вот фактически транспортом, управляешь через единое окно управления SDN. У тебя сразу все политики доступа «разъезжаются» внутри SDN, и ты это быстро имплементишь, деплоишь. Не надо ждать, заходить на разные оборудования, все это дело настраивать. Это очень сильно упрощает, через эти API-реквесты SDN-овские, какие-то массовые операции — когда тебе надо массово доступ раздать, или массово изменить, или какие-то изменения произошли и надо быстро эти доступы отозвать. То есть, это быстро можно и отозвать.

Эта штука [SDN] сильно повышает прозрачность. С точки зрения информационной безопасности, вот это observability: тебе не надо лазить пять консолей, пять мониторингов, алерты какие-то следить. У тебя все в одном месте, и ты это получаешь быстро, и с точки зрения ИБ все логирования действий, которые происходили с SDN — они в одном месте, в пять инструментов не надо лазить. Ну и также, если говорить про какую-то финансовую историю, SDN стоит дополнительных денег, но тебе больше не нужно интеллектуальное железо со всеми вот этими настройками доступа, безопасности. Можно более простое дешевое железо покупать, стандартное, вот эти Top of the Rack коммутаторы, маршрутизаторы — потому что у тебя весь интеллект уже идет на уровне SDN. И когда ты это новое железо покупаешь, его и просто добавить. SDN его сразу увидит, сразу добавляет и сразу на него раскатывает какие-то правила, политики, которые нужны.

;

Микросегментация в SDN

И если говорить про SDN в ключевых фичах. «Максим, давай мы немножко поманипулируем, выдели две основные вещи» — вот, наверное, вещь номер один.

Это управление маршрутизацией: то есть у тебя, допустим, есть какая-то ИТ-система, у нее есть 10 «виртуалок», одна должна выходить наружу. Все остальные должны стоять за ней и доступ наружу не иметь, чтобы их нельзя было взломать с точки зрения информационной безопасности. Это очень легко делается на базе SDN, причем совершенно неважно, какое оборудование внутри, как бы, гетерогенное.

А вторая история — она про чистой воды безопасность. Вот смотри, я с zVirt, мне кажется, 3.2 или 3.3 веду все эфиры, вебинары по zVirt. Уже два с половиной года. Я когда выступаю про SDN — вроде мы такой инфраструктурный вендор, [но] я поймался на мысли, что 70% контента по SDN — это про информационную безопасность. То есть, SDN — это больше инструмент информационной безопасности, чем инфраструктурный.

Что я могу сказать про безопасность? Есть такой функционал важнейший. Он называется микросегментация в SDN. Если на техническом языке сказать, то у тебя есть «виртуалка», у нее есть сетевой порт, и ты на уровне SDN можешь зайти на уровне сетевого порта, сказать, по каким портам, протоколам, с каких «виртуалок» сетей на вход, на выход можно к этой «виртуалке» ходить. И эти правила микросегментации, как белые листы, можно назначать массово. То есть, у тебя все закрыто, такой Zero Trust, и вайтлистами ты назначаешь доступы, которые нужны.

И вот пару крупных кейсов. В нефтегазовой компании в центральном офисе нашей северной столицы, на одной инфраструктуре, на одном железе живет больше ста юридических лиц. Все эти среды должны быть изолированы. Если где-то происходит какая-то атака на одно из юрлиц, другие не должны пострадать, быть задеты.

И как раз микросегментация в SDN — это тот функционал, без которого нас просто отказывались брать на апробацию, на тестирование, потому что для центрального ЦОДа — это прям must have, и без этого нельзя. И когда мы это сделали, эта история сразу же пошла в апробацию.

И второй кейс — это достаточно крупный «красный банк». В нем есть, как во всех Enterprise-заказчиках, внутренние корпоративные ландшафты. Production, технический тест, dev, демилитаризованная зона, их надо тоже все разделять. В «красном банке» достаточно много накопилось разного сетевого оборудования, большая инфраструктура, и этим оборудованием было неудобно управлять. Как раз для разделения сред используется микросегментация, как возможность. Опять у нас тема подлодок — я ее начал, я ее продолжу. Как на подлодке — можно переборками делить под отсеки, вот так же в корпоративной инфраструктуре — чтобы сократить ущерб от атаки на одно из подразделений или сред ландшафтов, микросегментация позволяет управлять, чтобы атака дальше не распространялась, если правильно настроить правила микросегментации в SDN.

— Почему ты сказал про малые компании, что им тоже что-то подходит? У меня почему-то вот из того, что я сейчас слышал, больше кажется, что это какой-то ЦОД? Ты как бы ЦОД развернул, вот тебе сразу прям отлично это подходит.

Смотри, у нас два zVirt есть, коммерческих редакций. Есть zVirt обычный и Advanced. В обычный входит SDN, а в Advanced входит SDN с микросегментацией. Вот эта микросегментация — она нужна на больших инфраструктурах. На маленьких инфраструктурах, когда у тебя накупили в разные годы всякого low-end, даже не mid-range, сетевого оборудования, и у тебя администраторы сидят, какой-нибудь Новоегорьевский молокозавод, например. Ну, в смысле, ты думаешь, туда можно крутого сетевого администратора нанять? Это сложная задача, да, будем честны. И когда ты «сетевкой» управляешь — не лазишь на эти сетевые интерфейсы, а управляешь через графическую консольку SDN всеми этими доступными сетями — это сильно сокращает барьер входа, потому что на маленьких инсталляциях zVirt SDN управлять проще, чем лазить на «сетевуху». Поэтому в маленьких инсталляциях это тоже, как ни удивительно, достаточно хороший профиль, и именно поэтому мы базовый функционал SDN оставили в самой базовой редакции zVirt.

;

Лимиты в SDN

— У SDN есть же лимиты, как сомневается или подчеркивает один из наших зрителей. И эти лимиты, очевидно, ниже, чем теоретически возможны. Насколько это проблематично, особенно при масштабировании?

Идеальный вопрос. У меня кейс есть.

Человек, видно, задавал этот вопрос о наболевшем. Мы в такие лимиты весной врубились. Значит, о каких лимитах, может идти речь? Есть микросегментация, и микросегментация – это набор правил, таблиц с правилами: кто, куда, с каким доступом может получить доступ. Вот в нашем крупном заказчике из северной столицы на инсталляции в 100 хостов — они очень мельчили — мы «врубились» в архитектурные ограничения SDN в 15 тысяч правил микросегментации. И дальше, соответственно, что делать? Новые инсталляции делать, мельчить. То есть SDN, сеть, разделять на сегменты. В этом кейсе нам это мешало масштабироваться, развиваться в заказчике.

Мы месяца 3-4 занимались этим вопросом, смогли до 65 тысяч правил микросегментации, то есть почти в 4,5 раза, увеличить эти ограничения. И если говорить про такие вещи, как риски использования технологии SDN — это, например, можно «врубиться» в какие-то архитектурные ограничения, которые есть абсолютно у любой технологии. Мы вот весной в такую ситуацию попали. Нам удалось значительно в 4,5 раза расширить этот «потолок», поднять его, но нужно иметь в виду, что у каждой технологии такие ограничения есть.

;

Сертификация ФСТЭК

— И про сертификацию есть два вопроса. Когда ждать новый сертифицированный релиз?

Значит, мы первый раз обожглись, на второй круг нас отправили с сертификацией ФСТЭК, и мы в итоге в рынок отдали на полгода позже, чем планировали zVirt ФСТЭК-овский. Связано это было с тем, что мы начинали тогда по старым требованиям сертификацию, а в самый последний момент нам сказали: «не-не, по-новому надо». И мы по-новому за полгода полностью все переделали, добегали.

Соответственно, сейчас zVirt 4.2 находится в стадии сертификации. Я не буду делиться конкретными сроками, давайте скажу — скоро. Когда будет чуть больше фактуры, то мы эту историю в рынок сразу же отдадим. Но это уже прям финишная прямая, если говорить в человеческом языке.

;

Микросегментация в контейнерной инфраструктуре

— Есть еще вопрос: как обеспечивать микросегментацию, о которой вы говорили, в контейнерной инфраструктуре?

Коротко: у нас вышла спецверсия zVirt Containers, где сделана глубокая интеграция zVirt с нашим оркестратором контейнеров Nova. В «кубере» есть два типа людей, которые с ним работают. Это инфраструктурщики: создать «виртуалки», их «отсайзить», настроить сетевые доступы, диски, все компоненты, какие должны стоять. И есть второй тип людей, кто с «кубером» работает: это DevOps, которые работают уже с контейнерами и микросервисами. Вся инфраструктурная часть работы с «кубером» полностью интегрировано внутрь zVirt. Все, что нужно DevOps’ам сделано — «провалиться» можно в Nova и там этим управлять. Мы первые сделали это в России, в мире в целом у VMware так сделано.

И вещи, связанные с SDN и с микросегментацией — они при конфигурировании кластера «кубера» и zVirt напрямую и нужны. Поэтому, когда мы выпускали zVirt Containers, как раз интеграция именно с SDN со всеми вещами, связанными с «кубером» — это было сделано. В zVirt Containers мы интеграцию с SDN как раз сделали, прошли.

— А, то есть, можно интегрировать, это будет работать. Про сертификацию ФСТЭК этого решения пока нет?

Нет. Пока у нас отдельно zVirt, отдельно Nova сертифицированы. Nova — в этом году в мае получили сертификацию. zVirt Containers — это где два продукта плюс глубокая интеграция — пока даже не относили во ФСТЭК, это достаточно тяжелый путь. По отдельности да, вместе с интеграцией пока нет.

;

zVirt