Wybór odpowiedniego firewalla dla firmy to dziś decyzja, która rzutuje na bezpieczeństwo, zgodność z regulacjami oraz koszty operacyjne w perspektywie kilku lat. Stormshield jest jednym z tych rozwiązań, o które klienci pytają nas coraz częściej, szczególnie po wejściu w życie nowelizacji ustawy o KSC wdrażającej NIS2. W ICT Future jesteśmy oficjalnym partnerem Stormshield i wdrażamy te urządzenia w instytucjach kultury, jednostkach administracji, firmach komunalnych oraz w sektorze prywatnym. Z tego doświadczenia widzimy dobrze, dla kogo Stormshield faktycznie się sprawdza, a komu lepiej zaproponować inne rozwiązanie. W tym wpisie pokazujemy, czym wyróżnia się ta technologia, czym różni się UTM od Next Gen Firewall, jak działa architektura ochrony oraz jak wygląda proces wdrożenia. Tekst kierujemy do osób decyzyjnych w średnich firmach, które stoją przed wyborem nowej ochrony brzegu sieci.
Czym jest Stormshield i skąd pochodzi technologia z koncernu Airbus Group?
Stormshield to europejski producent rozwiązań cyberbezpieczeństwa z siedzibą we Francji, w stu procentach należący do Airbus Defence and Space Cyber Programmes. Firma w obecnym kształcie powstała w 2012 roku, kiedy Airbus przejął i połączył dwóch francuskich pionierów branży bezpieczeństwa sieciowego, czyli Arkoon (założony w 2000 roku) oraz Netasq (założony w 1998 roku). Pierwsze produkty pod marką Stormshield trafiły na rynek w 2014 roku.
Pochodzenie z grupy Airbus ma konkretne konsekwencje biznesowe. Airbus Defence and Space wspólnie z Airbus Helicopters zatrudnia ponad sto trzydzieści tysięcy osób i generuje przychody przekraczające sześćdziesiąt pięć miliardów euro rocznie. Dla klienta oznacza to stabilność finansową producenta oraz pewność, że rozwój technologii jest finansowany długoterminowo, a nie zależny od kolejnych rund inwestorskich.
Stormshield posiada portfolio podzielone na trzy linie. Stormshield Network Security obejmuje firewalle nowej generacji i urządzenia UTM. Stormshield Endpoint Security to ochrona stacji roboczych. Stormshield Data Security odpowiada za szyfrowanie danych. Wszystkie linie produktowe są rozwijane w Europie, a kod źródłowy podlega audytom prowadzonym przez europejskie agencje bezpieczeństwa.
Najmocniejszą stroną producenta są certyfikacje. Firewalle Stormshield posiadają certyfikat Common Criteria EAL4+, kwalifikację ANSSI Standard, dopuszczenie do przetwarzania informacji oznaczonych jako EU RESTRICTED oraz NATO RESTRICTED. Dla podmiotów z sektora publicznego, energetyki, obronności i ochrony zdrowia ten poziom certyfikacji jest często warunkiem uczestnictwa w przetargach. W 2025 roku firmware piątej generacji jako pierwszy na rynku wprowadził standaryzowany przez NIST algorytm szyfrowania postkwantowego ML-KEM, więc rozwiązanie jest przygotowane na nadchodzące zmiany kryptograficzne.
Różnicę pomiędzy UTM a Next Gen Firewall
Na rynku te dwa skróty traktuje się czasem jak synonimy, choć opisują dwa różne podejścia do ochrony sieci. Stormshield oferuje urządzenia, które łączą oba modele w jednej platformie, więc dobrze rozumieć, czym one są.
UTM, czyli Unified Threat Management, to koncepcja z początku lat 2000. Idea jest prosta. Zamiast kupować osobno firewall, antywirus bramkowy, system antyspamowy, filtr stron WWW i bramę VPN, klient otrzymuje jedno urządzenie, które robi wszystko naraz. UTM sprawdza się świetnie w małych i średnich firmach, ponieważ obniża koszt zakupu, upraszcza zarządzanie i zmniejsza liczbę punktów awarii. Wadą klasycznego UTM jest jednak działanie na poziomie portów i protokołów. Urządzenie wie, że ruch idzie na port 443, ale nie analizuje głębiej, co się w tym ruchu dzieje.
Next Generation Firewall, w skrócie NGFW, to ewolucja tej koncepcji. Firewall nowej generacji rozpoznaje konkretne aplikacje niezależnie od portu, na którym działają. Wie, że dane przesyłane przez port 443 to Microsoft Teams, Dropbox albo aktualizacja Windows, więc może zastosować różne polityki dla każdej z tych aplikacji. Robi też deep packet inspection, czyli analizuje zawartość pakietów w poszukiwaniu zagrożeń, oraz rozpoznaje tożsamość użytkownika, a nie tylko adres IP komputera.
W praktyce różnica sprowadza się do precyzji decyzji. Klasyczny UTM odpowiada za przepuszczanie odpowiedniego ruchu sieciowego. NGFW odpowiada na pytanie czy przepuścić ten ruch dla tego użytkownika, z tej aplikacji, o tej porze, w tym kontekście.
Stormshield Network Security działa jednocześnie jako UTM i jako Next Generation Firewall. W jednym urządzeniu klient otrzymuje filtrowanie pakietów, inspekcję aplikacji, system zapobiegania włamaniom IPS, antywirus, filtr WWW, sandboxing, VPN site-to-site oraz mobilny VPN dla pracowników zdalnych. Klient decyduje, jak głęboko chce wykorzystywać każdą z tych funkcji.
Architektura ochrony Stormshield i jak działa IPS nowej generacji?
Sercem rozwiązania Stormshield jest system zapobiegania włamaniom, czyli IPS. W odróżnieniu od konkurentów producent zbudował go jako element jądra systemu operacyjnego urządzenia, a nie jako zewnętrzny moduł doczepiony do firewalla. Brzmi technicznie, ale konsekwencje są bardzo praktyczne.
Pierwsza konsekwencja to wydajność. Ponieważ IPS pracuje na poziomie jądra, każda dekodowana paczka jest analizowana jednocześnie przez wiele warstw kontroli, bez kopiowania danych pomiędzy modułami. Dzięki temu Stormshield potrafi prowadzić głęboką inspekcję ruchu szyfrowanego SSL i TLS przy obciążeniu, które na innych urządzeniach wymagałoby wyraźnie większego sprzętu.
Druga konsekwencja to skuteczność. Stormshield IPS bazuje na dwóch równoległych mechanizmach. Analiza sygnaturowa rozpoznaje znane wzorce ataków na podstawie aktualizowanej bazy zagrożeń. Analiza protokołowa porównuje obserwowany ruch ze specyfikacją prawidłowego działania danego protokołu, na przykład HTTP, SMB lub DNS. Jeśli ruch odbiega od specyfikacji, urządzenie reaguje, nawet jeśli konkretny atak nie został jeszcze opisany w bazie sygnatur. To podejście chroni przed atakami typu zero-day.
Trzecia warstwa to kontekstowa kontrola aplikacji. Urządzenie identyfikuje aplikację po jej zachowaniu w sieci, nie tylko po porcie czy nazwie. Dzięki temu nawet ruch ukryty w tunelu VPN albo przesyłany przez nietypowy port zostaje rozpoznany i może zostać objęty regułami polityki.
Czwarta warstwa to ochrona przed eksfiltracją danych. Mechanizm DLP w urządzeniu rozpoznaje wzorce poufnych informacji, takie jak numery PESEL, NIP, numery kart płatniczych czy dane medyczne, i blokuje ich wysyłkę zgodnie z polityką klienta.
W instalacjach, w których wdrażamy Stormshield, korzystamy z konsoli centralnego zarządzania SMC, czyli Stormshield Management Center. Pozwala ona administrować nawet kilkuset urządzeniami z jednego miejsca, co dla rozproszonych klientów, na przykład sieci oddziałów albo placówek medycznych, jest istotną przewagą operacyjną.
Dla kogo rozwiązania Stormshield sprawdzą się najlepiej?
Stormshield nie jest rozwiązaniem dla każdego. Dobry wybór sprzętu zaczyna się od zrozumienia, gdzie ta technologia ma swoje naturalne miejsce. Z naszych wdrożeń wyłaniają się cztery profile firm, w których Stormshield wypada bardzo dobrze.
Pierwszy profil to średnie przedsiębiorstwa z sektora regulowanego. Banki spółdzielcze, firmy ubezpieczeniowe, podmioty ochrony zdrowia, instytucje kultury. Wszędzie tam, gdzie wymagana jest dokumentacja środków bezpieczeństwa, certyfikacja ANSSI i kwalifikacje europejskie znacząco upraszczają audyty i przygotowanie do kontroli regulatora.
Drugi profil to jednostki administracji publicznej oraz firmy komunalne. Stormshield jest dopuszczony do przetwarzania informacji oznaczonych klauzulą EU RESTRICTED, więc spełnia wymagania zamówień publicznych dotyczących bezpieczeństwa informacji niejawnych. Wdrażaliśmy te urządzenia między innymi w jednostkach administracji terytorialnej oraz w przedsiębiorstwach świadczących usługi komunalne.
Trzeci profil to organizacje o rozproszonej infrastrukturze. Klient z kilkunastoma lub kilkudziesięcioma lokalizacjami, na przykład sieć przychodni, sieć placówek kultury, oddziały firmy produkcyjnej. Centralne zarządzanie SMC oraz zaawansowane funkcje SD-WAN pozwalają sterować polityką bezpieczeństwa we wszystkich oddziałach z jednego miejsca, bez konieczności wysyłania administratorów w teren.
Czwarty profil to firmy z infrastrukturą OT, czyli z systemami przemysłowymi i sterownikami SCADA. Stormshield ma dedykowaną linię SNi40 oraz SNi20 przeznaczoną do ochrony środowisk przemysłowych, z obsługą protokołów Modbus, OPC UA, IEC 60870 i innych standardów branżowych. Producent zdobył certyfikat ANSSI CSPN jako pierwszy firewall przemysłowy na rynku.
Stormshield może być mniej trafnym wyborem dla mikrofirm potrzebujących prostego routera brzegowego oraz dla bardzo dużych organizacji z dziesiątkami tysięcy użytkowników, w których standardem są platformy o jeszcze większej skali. Dla typowej średniej firmy w Polsce, zatrudniającej od pięćdziesięciu do tysiąca osób, jest jednak rozwiązaniem, które realnie warto rozważyć obok Fortinet czy Palo Alto Networks.
Porównianie Stormshield z innymi rozwiązaniami na rynku
Klienci często pytają nas, czym Stormshield różni się od popularnych w Polsce alternatyw, czyli Fortinet, Palo Alto Networks, Cisco Firepower oraz Sophos. Każde z tych rozwiązań ma swoje mocne strony, więc poniżej zestawiamy najważniejsze różnice praktyczne.
| Obszar | Stormshield | Fortinet | Palo Alto | Sophos |
|---|---|---|---|---|
| Pochodzenie | Francja, Airbus Group | USA | USA | Wielka Brytania |
| Certyfikacja ANSSI Standard | Tak | Nie | Nie | Nie |
| Dopuszczenie EU RESTRICTED | Tak | Nie | Nie | Nie |
| Dopuszczenie NATO RESTRICTED | Tak | Nie | Nie | Nie |
| Architektura IPS | W jądrze systemu | Modułowa | Modułowa | Modułowa |
| Dedykowana linia OT/SCADA | Tak (SNi40, SNi20) | Tak | Ograniczona | Ograniczona |
| Szyfrowanie postkwantowe ML-KEM | Tak, od firmware v5 | W trakcie wdrażania | W trakcie wdrażania | W trakcie wdrażania |
| Suwerenność europejska | Pełna | Brak | Brak | Brak |
Każda z konkurencyjnych platform ma swoje silne strony. Fortinet wyróżnia się szerokością portfolio Security Fabric i bardzo dobrym stosunkiem ceny do wydajności w wyższym segmencie. Palo Alto Networks ma wyjątkowo dojrzałą inspekcję aplikacji oraz silne narzędzia analityczne klasy enterprise. Cisco Firepower naturalnie pasuje do organizacji, które już opierają sieć na Cisco. Sophos często wygrywa prostotą zarządzania i atrakcyjną ceną dla mniejszych firm.
Stormshield wygrywa tam, gdzie liczy się europejska suwerenność danych, certyfikacje ANSSI i dopuszczenia do informacji niejawnych. Dla organizacji prywatnej te kryteria mogą wydawać się drugorzędne, ale dla podmiotu publicznego lub regulowanego stanowią często warunek formalny. Naszym klientom proponujemy zawsze wybór oparty na faktycznych wymaganiach, nie na preferencji konkretnej marki.
Suwerenność danych i europejskie regulacje jako argument biznesowy
Suwerenność danych przestała być tematem akademickim. Po wejściu w życie nowelizacji ustawy o KSC wdrażającej NIS2 oraz w kontekście rozporządzeń DORA i Cyber Resilience Act regulator zaczyna pytać organizacje, gdzie fizycznie znajdują się ich dane, kto ma do nich dostęp i jakie prawodawstwo obejmuje dostawcę technologii.
W praktyce sprowadza się to do jednego pytania. Czy państwo trzecie, poza Unią Europejską, ma prawo zażądać od producenta firewalla dostępu do informacji o klientach europejskich, do kodu źródłowego lub do mechanizmów ukrytych w urządzeniu. W przypadku producentów ze Stanów Zjednoczonych odpowiedź wynika z amerykańskiego prawa CLOUD Act i wygląda inaczej niż w przypadku producentów europejskich.
Stormshield, jako spółka w stu procentach należąca do europejskiej grupy Airbus, podlega wyłącznie prawu francuskiemu i unijnemu. Kod źródłowy jest rozwijany w Europie, audytowany przez francuską agencję ANSSI, a urządzenia są dopuszczone do pracy w sieciach przetwarzających informacje klasyfikowane jako EU RESTRICTED i NATO RESTRICTED.
Dla średniej firmy prywatnej ten argument bywa drugorzędny, choć nie pozbawiony znaczenia w kontekście wyborów strategicznych. Dla podmiotu publicznego, podmiotu kluczowego w rozumieniu nowej ustawy o KSC, jednostki samorządu, podmiotu ochrony zdrowia, operatora infrastruktury wodno-kanalizacyjnej, energetyki czy transportu, suwerenność dostawcy staje się argumentem o realnej wadze biznesowej.
Drugim argumentem regulacyjnym jest gotowość na kryptografię postkwantową. NIST w 2024 roku zatwierdził pierwsze standardy szyfrowania odpornego na komputery kwantowe, w tym ML-KEM. Stormshield jest pierwszym producentem firewalli, który wdrożył ten algorytm w produkcyjnym firmware. Dla organizacji, które myślą o cyklu życia urządzenia w perspektywie pięciu do siedmiu lat, ten element ma już dziś znaczenie planistyczne.
Wdrożenie Stormshield w Twojej firmie
Wdrożenie firewalla brzegowego brzmi z pozoru jak prosty projekt. W praktyce dobry projekt potrzebuje przemyślanej kolejności kroków, ponieważ błędy popełnione na początku odbijają się przez kolejne lata działania urządzenia. W ICT Future prowadzimy każde wdrożenie w pięciu etapach, które dopasowujemy do skali organizacji.
Etap pierwszy to analiza środowiska. Wspólnie z klientem mapujemy istniejącą sieć, identyfikujemy zasoby krytyczne, listujemy aplikacje używane w organizacji, ustalamy liczbę użytkowników i lokalizacji, sprawdzamy zewnętrzne łącza i analizujemy wymagania regulacyjne. Bez tego etapu dobór sprzętu jest loterią.
Etap drugi to dobór modelu. Stormshield ma portfolio od najmniejszych urządzeń SN160W przeznaczonych dla biur i oddziałów, przez serie SN-S, SN-M, SN-L, aż po wysokowydajne SN-XL dla dużych centrów danych. Dobieramy model na podstawie przewidywanej przepustowości po włączeniu inspekcji SSL, liczby równoległych sesji oraz wymagań dotyczących redundancji. Klient otrzymuje od nas konkretną rekomendację z uzasadnieniem, a nie tylko cennik.
Etap trzeci to projekt techniczny. Przygotowujemy dokument opisujący topologię docelową, polityki bezpieczeństwa, reguły segmentacji sieci, konfigurację VPN, integrację z Active Directory lub innym katalogiem tożsamości oraz plan przejścia z obecnego rozwiązania. Klient zatwierdza projekt przed rozpoczęciem prac instalacyjnych.
Etap czwarty to wdrożenie. Konfigurujemy urządzenia w laboratorium, testujemy działanie, a następnie przeprowadzamy okno migracji w uzgodnionym terminie, najczęściej w nocy lub w weekend. W przypadku organizacji o krytycznej ciągłości pracy stosujemy konfigurację redundantną, dzięki której migracja odbywa się bez przerwy w działaniu sieci.
Etap piąty to wsparcie powdrożeniowe. Klient otrzymuje dokumentację konfiguracji, szkolenie dla administratorów i opiekę naszego zespołu wsparcia. Możemy także prowadzić zarządzanie urządzeniem w modelu outsourcingowym, jeśli klient nie chce utrzymywać własnego zespołu specjalistów.
Nasi inżynierowie posiadają oficjalne certyfikacje Stormshield, a firma jest autoryzowanym partnerem producenta. Projekty wdrożeniowe prowadziliśmy między innymi dla instytucji kultury, jednostek administracji i firm komunalnych w całej Polsce.
Co warto zapamiętać?
Wybór firewalla nowej generacji jest dziś decyzją techniczną i strategiczną jednocześnie. Stormshield wnosi do tej decyzji elementy, których nie zaproponują dostawcy spoza Europy. Pełną suwerenność danych, certyfikacje ANSSI oraz dopuszczenia do informacji niejawnych Unii Europejskiej i NATO, dojrzałą architekturę IPS osadzoną w jądrze systemu oraz gotowość na kryptografię postkwantową. Dla średnich firm regulowanych, jednostek administracji, podmiotów ochrony zdrowia i operatorów infrastruktury krytycznej te cechy przekładają się na realne korzyści biznesowe, w tym łatwiejsze audyty, mniejsze ryzyko regulacyjne i przewidywalność cyklu życia rozwiązania. W ICT Future jesteśmy partnerem Stormshield i prowadzimy pełen proces od analizy potrzeb, przez dobór modelu i konfigurację, po wsparcie powdrożeniowe. Jeśli rozważasz wymianę firewalla albo modernizację ochrony brzegu sieci, zapraszamy do rozmowy. Pokażemy konkretne urządzenie dopasowane do Twojej organizacji i wskażemy realny budżet projektu.