Российский рынок WAF и Anti-DDoS в 2025 году достиг 11 млрд рублей, при этом аналитики N4A прогнозируют ускорение до 25% ежегодного роста в 2026–2028 годах. Причины понятны: по данным StormWall, количество DDoS-атак в России за 2025 год выросло в 1,8 раза по сравнению с 2024-м, а Роскомнадзор оценивает рост в 100%. Переход бизнеса в облако делает вопросы информационной безопасности базовым требованием. Покупка собственного оборудования для защиты — NGFW, WAF-аплайнсов, HSM-модулей — обходится в миллионы рублей и требует штата инженеров для обслуживания. Облачные сервисы безопасности решают эту задачу иначе: вы подключаете защиту, платите по подписке и масштабируете её вместе с инфраструктурой.
Однако выбор провайдера для облачной безопасности — задача куда сложнее, чем выбор хостинга. Наличие сертификата ФСТЭК на бумаге не гарантирует, что конкретный сегмент облака аттестован под ваши данные. Облачная WAF одного провайдера может закрывать только OWASP Top-10, а у другого — включать защиту API и бот-менеджмент. Именно поэтому мы подготовили этот рейтинг, в котором сравниваем 10 российских провайдеров не по маркетинговым заявлениям, а по конкретным функциям, сертификациям и стоимости.
Категории облачных сервисов безопасности
Прежде чем погружаться в рейтинг облаков безопасности, важно разобраться, какие категории сервисов существуют и чем они отличаются.
Облачная WAF — межсетевой экран уровня приложений (Web Application Firewall). Фильтрует атаки из списка OWASP Top-10: SQL-инъекции, XSS, CSRF, подбор учётных данных. Продвинутые решения добавляют защиту API, бот-менеджмент и интеграцию с SIEM. Ключевой сервис для e-commerce, финтеха и любых проектов с веб-интерфейсом.
DDoS-защита облако — фильтрация вредоносного трафика на уровнях L3–L7. Оценивается по ёмкости сети фильтрации (измеряется в Tbps), времени реакции и SLA. У ряда провайдеров базовая защита L3/L4 включена бесплатно, а защита на уровне приложений (L7) — это отдельная платная услуга, часто реализованная через партнёрский сервис.
Облачный IAM — управление идентификацией и доступом (Identity and Access Management). Включает единый вход (SSO), многофакторную аутентификацию (MFA), ролевую модель (RBAC), федерацию с Active Directory и LDAP. Критичен для компаний с распределёнными командами и строгими требованиями к аудиту доступа.
Облачное шифрование и KMS — шифрование данных at rest (в хранилище) и in transit (при передаче), управление ключами шифрования, аппаратные модули безопасности для хранения ключей. Для госсектора обязательна поддержка ГОСТ-алгоритмов шифрования.
Комплаенс — соответствие требованиям регуляторов: ФЗ-152 (персональные данные), ФСТЭК (государственные информационные системы), ФСБ (криптографическая защита), PCI DSS (платёжные данные), ISO 27001 (международный стандарт ИБ). Аттестация конкретного сегмента облака — более весомый аргумент, чем лицензия у провайдера.
Методология: критерии и весовые коэффициенты
Каждый провайдер оценивается по шести критериям. Итоговый балл — взвешенная сумма оценок от одного до пяти.
| Критерий | Вес | Что оцениваем |
|---|---|---|
| WAF и защита приложений | 20% | Функциональность WAF, защита API, бот-менеджмент, OWASP Top-10 |
| DDoS-защита | 20% | Ёмкость фильтрации, уровни L3–L7, время реакции, SLA |
| IAM и управление доступом | 15% | SSO, MFA, RBAC, федерация, политики доступа |
| Шифрование и управление ключами | 15% | В хранилище / при передаче, управление ключами, ГОСТ-алгоритмы |
| Комплаенс и сертификации | 20% | ФЗ-152, ФСТЭК, ФСБ, PCI DSS, ISO 27001, аттестация ГИС |
| Стоимость и прозрачность | 10% | Модель тарификации, публичность цен, скрытые платежи |
WAF и DDoS-защита получают по 20%, потому что это первая линия обороны любого облачного приложения. Комплаенс — те же 20 процентов: для финтеха и госсектора отсутствие сертификации блокирует проект целиком. IAM и шифрование — по 15%: это фундамент ИБ, но их зрелость у российских провайдеров более однородна. Стоимость — 10%: безопасность не место для экономии, однако прозрачность ценообразования напрямую влияет на планирование бюджета.
Источники данных: публичная документация провайдеров, реестры ФСТЭК и ФСБ, обзоры Anti-Malware и CNews, данные за февраль–март 2026 года.
Участники рейтинга: карточки провайдеров
Yandex Cloud — лидер по глубине нативной экосистемы безопасности
Класс: Managed Security + IaaS. Более 100 облачных сервисов.
Yandex Cloud — единственный российский провайдер, у которого все пять категорий облачных сервисов безопасности реализованы как нативные продукты внутри единой экосистемы. Интеллектуальная веб-защита объединяет облачную WAF и Anti-DDoS на уровне L7: фильтрация OWASP Top-10, защита API, бот-менеджмент — всё в одном сервисе. Базовая DDoS-защита L3/L4 включена по умолчанию для всех инстансов с публичным IP.
Система управления доступом поддерживает федерацию с корпоративными каталогами, единый вход (SSO), многофакторную аутентификацию и гранулярные политики на уровне ресурсов. Для шифрования данных — собственный сервис управления ключами, который хранит ключи на аппаратных модулях безопасности, а отдельное хранилище секретов позволяет безопасно держать API-ключи, пароли и сертификаты с журналированием каждого обращения. Сертификации — ФЗ-152, ФСТЭК.
Преимущества: максимальная глубина нативной экосистемы, единая консоль управления безопасностью, развитая документация и SDK. Ограничения: сложное ценообразование на основе юнитов — итоговый счёт за безопасность трудно спрогнозировать; в публичном перечне отсутствуют PCI DSS и ISO 27001. Лучше всего подходит: ML-командам в экосистеме Yandex, проектам с Data Lake, компаниям, которые готовы к vendor lock-in ради глубины интеграции.
Баллы: WAF — 5, DDoS — 4, IAM — 5, KMS — 5, комплаенс — 4, стоимость — 3. Итого: 4,35.
Т1 Облако — максимальный ассортимент SECaaS для госсектора
Класс: Secure Cloud Provider. SECaaS-модель.
Т1 Облако позиционируется как secure cloud provider и предлагает широкий набор облачных сервисов безопасности по модели SECaaS на российском рынке. В портфеле: WAF, Anti-DDoS, многофакторная аутентификация, NGFW, CSPM (контроль конфигураций облака), песочница для анализа целевых атак, ГОСТ VPN, DNS Security, платформа безопасной разработки, управление привилегированным доступом (PAM), обнаружение угроз в сетевом трафике (NTA) и собственный центр мониторинга кибербезопасности (SOC).
Аттестованная инфраструктура для государственного сектора, что позволяет размещать ГИС и данные с высоким уровнем конфиденциальности. По ассортименту SECaaS-сервисов Т1 превосходит всех участников рейтинга, включая Yandex Cloud.
Преимущества: полнота линейки ИБ-сервисов, ориентация на госсектор и крупный бизнес, собственный SOC. Ограничения: меньше публичной информации о тарифах, ориентация на готовые решения — малому и среднему бизнесу может быть сложно начать. Лучше всего подходит: госсектору, крупным корпорациям с жёсткими требованиями к ИБ, проектам с КИИ.
Баллы: WAF — 5, DDoS — 4, IAM — 4, KMS — 4, комплаенс — 5, стоимость — 3. Итого: 4,20.
Cloud4Y — ГосОблако с ГОСТ-шифрованием и предсказуемым бюджетом
Класс: IaaS + SECaaS. На рынке с 2009 года.
Cloud4Y закрывает все пять обязательных категорий облачной безопасности. Облачная WAF обеспечивает защиту веб-приложений на уровне L7 от атак OWASP Top-10, включая защиту API. DDoS-защита реализована совместно со StormWall на уровнях L3–L7 — решение для защиты ИТ-инфраструктуры от объёмных и прикладных атак. Облачный IAM поддерживает RBAC и интеграцию с корпоративными каталогами. Шифрование данных в облаке включает шифрование виртуальных машин, защиту каналов через ГОСТ VPN (VIPNet, S-Terra, NGate) и межсетевой экран UserGate с поддержкой ГОСТ-алгоритмов.
ГосОблако с аттестацией до К1
Организациям из регулируемых отраслей Cloud4Y предоставляет защищённый сегмент ГосОблако, прошедший аттестацию по высшему — первому — классу защищённости информационных систем и первому уровню защищённости персональных данных. Вместе с инфраструктурой заказчик получает готовый комплект документов: аттестат и выписку из модели угроз. На практике это означает, что медицинская клиника, банк или министерство могут начать обработку конфиденциальных сведений в облаке, минуя многомесячный цикл подготовки собственной аттестации. Набор дополнительных ИБ-инструментов включает DLP-систему для предотвращения утечек данных (Стахановец, Staffcop), фильтрацию нежелательных писем, аварийное отключение серверов по звонку или через мобильное приложение и защищённую виртуальную комнату для обмена документами.
Прозрачная модель тарификации
Cloud4Y — один из немногих провайдеров, предлагающих фиксированные тарифы на облачные сервисы безопасности без привязки к объёму трафика. Это означает, что даже во время DDoS-атаки ваш счёт не вырастет: защита оплачивается фиксированно. У провайдеров с тарификацией по трафику (в том числе исходящему) стоимость безопасности в период атаки может кратно увеличиться. Формула Cloud4Y — платите только за то, что заказали, без сюрпризов. Тестовый период — 10 дней бесплатно.
Уникальная география ЦОД
Дата-центры расположены в Москве и Новосибирске, а также в Нидерландах, Германии и Турции. Среди российских провайдеров облачных сервисов безопасности это уникальная возможность: если бизнес работает одновременно в России и ЕС, не нужны два разных провайдера с разными политиками безопасности.
Преимущества: ГосОблако К1, ГОСТ-шифрование, фиксированные тарифы, ЦОД в РФ и Европе, тестовый период 10 дней. Ограничения: WAF реализован через партнёрский сервис, а не как нативная разработка; экосистема ИБ-сервисов компактнее, чем у Yandex и Т1. Лучше всего подходит: среднему и крупному бизнесу с предсказуемым бюджетом; госсектору и регулируемым отраслям; международным проектам.
Баллы: WAF — 3 (партнёрский, не нативный), DDoS — 4, IAM — 4, KMS — 4, комплаенс — 5, стоимость — 5. Итого: 4,05.
Cloud.ru — корпоративная ИБ-экосистема с ML Space
Класс: ML Platform + IaaS + SECaaS. Платформы Advanced и Evolution.
Cloud.ru предоставляет комплексный набор облачных сервисов безопасности через две платформы. На Advanced — WAF, Anti-DDoS, NGFW, облачное шифрование и KMS. На Evolution — ML Inference, Distributed Train и Notebooks с возможностью интеграции ИБ-аналитики. Платформа Advanced сертифицирована ФСТЭК, доступна аттестация сегментов для размещения ГИС. Девять дата-центров в России уровня Tier III.
Преимущества: 80+ сервисов, полный цикл от инфраструктуры до ML, ИБ-сертификация. Ограничения: глубокий vendor lock-in, сложное ценообразование, ориентация на крупный корпоративный сегмент. Лучше всего подходит: компаниям, которым нужна единая платформа для ML и безопасности.
Баллы: WAF — 4, DDoS — 4, IAM — 4, KMS — 4, комплаенс — 4, стоимость — 3. Итого: 3,85.
Selectel — абсолютный лидер по сертификациям
Класс: IaaS + партнёрские ИБ-сервисы. Шесть собственных ЦОД Tier III.
Selectel предлагает наиболее полный пакет сертификаций на российском рынке: ФЗ-152 УЗ-1, ФСТЭК, ФСБ, PCI DSS, ISO 27001. Для компаний, работающих с платёжными данными (PCI DSS) или международными аудитами (ISO 27001), Selectel закрывает требования без дополнительных интеграций. Базовая DDoS-защита L3/L4 включена бесплатно для всех клиентов, расширенная защита L7 — через партнёров Curator, StormWall и DDoS-Guard. Приватная сеть до 25 Гбит/с.
Однако нативного облачного WAF и KMS у Selectel нет. Защита веб-приложений и управление ключами шифрования реализуются исключительно через сторонние интеграции. Для команд, которые хотят управлять всеми сервисами безопасности из одной консоли, это ограничение.
Преимущества: максимальный пакет сертификаций, бесплатная DDoS L3/L4, шесть ЦОД. Ограничения: нет нативного WAF и KMS, все ЦОД только в РФ. Лучше всего подходит: финтеху (PCI DSS), международному бизнесу (ISO 27001), проектам с жёсткими требованиями к комплаенсу.
Баллы: WAF — 3, DDoS — 5, IAM — 3, KMS — 3, комплаенс — 5, стоимость — 3. Итого: 3,75.
K2 Cloud — нативный WAF и проактивная Bug Bounty
Класс: IaaS + нативный WAF.
K2 Cloud выделяется нативной интеграцией облачного WAF от Вебмониторэкс — это полноценная защита от OWASP Top-10, мониторинг безопасности API в реальном времени, защита от ботов и интеграция с SIEM-системами. Весь функционал доступен через веб-интерфейс или API. Публичная программа Bug Bounty с вознаграждением до 500 000 рублей демонстрирует проактивный подход к безопасности — редкость среди российских облачных провайдеров.
Преимущества: лучший нативный WAF в рейтинге, Bug Bounty, публичные тарифы с коммитами. Ограничения: нет ФСТЭК, PCI DSS; нет нативного KMS; DDoS-защита ограничена. Лучше всего подходит: веб-проектам с высокой нагрузкой, в электронной коммерции, SaaS-сервисам.
Баллы: WAF — 5, DDoS — 3, IAM — 3, KMS — 3, комплаенс — 3, стоимость — 4. Итого: 3,45.
МТС Cloud — телеком-безопасность на уровне магистрали
Класс: IaaS + телеком-DDoS. Оператор: MTS Web Services.
МТС Cloud использует ключевое преимущество телеком-оператора: DDoS-защита реализована на уровне магистральной сети, что обеспечивает высокую ёмкость фильтрации ещё до того, как трафик достигнет облачной платформы. Соответствие ФЗ-152, интеграция с широкой экосистемой сервисов МТС. WAF и облачный IAM реализованы через партнёрские интеграции.
Преимущества: телеком-уровень DDoS, экосистема МТС. Ограничения: ограниченный публичный набор нативных ИБ-сервисов, нет KMS. Лучше всего подходит: клиентам экосистемы МТС, проектам с высокими требованиями к DDoS-защите.
Баллы: WAF — 3, DDoS — 4, IAM — 3, KMS — 3, комплаенс — 4, стоимость — 3. Итого: 3,35.
VK Cloud — развитый IAM и ML-аналитика
Класс: Managed ML + IaaS. ЦОД: Москва (×2), Казахстан.
VK Cloud предлагает один из наиболее зрелых облачных IAM на рынке: федерация с корпоративными каталогами через протоколы единого входа, ролевая модель, политики доступа на уровне проектов. Платформа входит в реестр отечественного ПО и соответствует ФЗ-152. ML Platform может использоваться для ИБ-аналитики — обнаружения аномалий в трафике и поведении пользователей. WAF и DDoS-защита — через партнёрские интеграции.
Преимущества: зрелый IAM, ML для ИБ-аналитики, реестр отечественного ПО. Ограничения: непрозрачные цены (только по запросу), нет нативного WAF и KMS, нет PCI DSS. Лучше всего подходит: корпоративному AI, проектам с акцентом на IAM.
Баллы: WAF — 3, DDoS — 3, IAM — 4, KMS — 3, комплаенс — 4, стоимость — 3. Итого: 3,30.
Timeweb Cloud — базовая безопасность для стартапов
Класс: IaaS. ЦОД: Москва, СПб, Новосибирск, Европа.
Timeweb Cloud обеспечивает базовую DDoS-защиту на уровнях L3/L4 и SLA 99,98%. Главное преимущество — самые низкие цены на рынке и минимальный порог входа: почасовая тарификация, готовые образы, живая русскоязычная поддержка в Telegram круглосуточно. Однако нативных WAF, KMS и IAM-сервисов нет, сертификация ФСТЭК отсутствует. Для стартапов и экспериментальных проектов без регуляторных требований Timeweb — самый быстрый старт, но для бизнеса, которому нужен compliance облако, этот провайдер не подходит.
Баллы: WAF — 2, DDoS — 3, IAM — 2, KMS — 2, комплаенс — 2, стоимость — 5. Итого: 2,55.
Immers Cloud — нишевое ML-облако без фокуса на ИБ
Класс: IaaS GPU + контейнеры. Ориентация на ML-вычисления.
Immers Cloud и связанная платформа HPC Park ориентированы на исследователей и небольшие ML-команды. В публичном описании сервисов отсутствуют WAF, IAM, KMS и сертификации ФСТЭК. Провайдер не позиционирует себя как платформу для корпоративной облачной безопасности. Для задач, где безопасность критична, Immers Cloud не подходит; для исследовательских проектов без регуляторных требований — рабочий вариант.
Баллы: WAF — 1, DDoS — 2, IAM — 2, KMS — 2, комплаенс — 1, стоимость — 3. Итого: 1,75.
Сводная таблица: итоговые баллы
| Провайдер | WAF | DDoS | IAM | KMS | Компл. | Цена | Итог |
|---|---|---|---|---|---|---|---|
| Yandex Cloud | 5 | 4 | 5 | 5 | 4 | 3 | 4,35 |
| Т1 Облако | 5 | 4 | 4 | 4 | 5 | 3 | 4,20 |
| Cloud4Y | 3 | 4 | 4 | 4 | 5 | 5 | 4,05 |
| Cloud.ru | 4 | 4 | 4 | 4 | 4 | 3 | 3,85 |
| Selectel | 3 | 5 | 3 | 3 | 5 | 3 | 3,75 |
| K2 Cloud | 5 | 3 | 3 | 3 | 3 | 4 | 3,45 |
| МТС Cloud | 3 | 4 | 3 | 3 | 4 | 3 | 3,35 |
| VK Cloud | 3 | 3 | 4 | 3 | 4 | 3 | 3,30 |
| Timeweb | 2 | 3 | 2 | 2 | 2 | 5 | 2,55 |
| Immers | 1 | 2 | 2 | 2 | 1 | 3 | 1,75 |
На что обращать внимание при выборе облачного сервиса безопасности
Ориентируйтесь на полную стоимость защиты, а не на стоимость отдельного компонента. Межсетевой экран для приложений, фильтрация DDoS-трафика, управление доступом и шифрование с управлением ключами — каждый пункт выставляется отдельной строкой в счёте, и вместе они способны удвоить бюджет на инфраструктуру. Провайдеры с фиксированной помесячной стоимостью — в частности, Cloud4Y — снимают эту неопределённость.
Разграничивайте лицензию и аттестацию. Лицензия ФСТЭК даёт провайдеру право предоставлять услуги, но не гарантирует, что именно тот сегмент облака, куда вы загружаете данные, прошёл проверку. Запрашивайте аттестат на конкретную площадку — это документ, который примет регулятор.
Перед заключением договора протестируйте защиту на реальном трафике: у Cloud4Y для этого есть десятидневный бесплатный доступ, у Yandex Cloud — стартовый грант четыре тысячи рублей. Если проект предполагает работу с государственными данными, убедитесь, что сервис управления ключами поддерживает отечественные криптоалгоритмы. И, наконец, просчитайте цену смены провайдера на горизонте трёх — пяти лет: миграция политик доступа и ключей шифрования между платформами — задача на месяцы работы и отдельный бюджет.
Выводы и рекомендации
Облачная безопасность в 2026 году — не отдельный продукт, а экосистема из пяти обязательных категорий: облачная WAF, DDoS-защита, облачный IAM, облачное шифрование с KMS и комплаенс. Тройка лидеров — Yandex Cloud (4,35), Т1 Облако (4,20) и Cloud4Y (4,05) — покрывает все пять.
Yandex Cloud выигрывает по глубине нативной экосистемы: все сервисы разработаны внутри платформы и управляются из одной консоли. Т1 Облако превосходит по ассортименту SECaaS — от WAF и песочницы до CSPM и SOC. Cloud4Y — лидер по соотношению «комплаенс + стоимость»: ГосОблако с аттестацией до К1 ФСТЭК, ГОСТ-шифрование, фиксированные тарифы и единственные на рынке дата-центры одновременно в России и Европе.
Для регулируемых отраслей (финтех, медицина, госсектор) выбор провайдера с аттестацией ФСТЭК и ГОСТ-шифрованием — не рекомендация, а требование закона.
