Средняя корпоративная сеть – это десятки точек входа, сотни устройств и постоянные удаленные подключения. В такой среде периметр становится условным, а значит, контроль доступа должен осуществляться на каждом этапе – такой подход лежит в основе стратегии сетевого фейсконтроля. Александр Черных, директор Центра разработки Angara Security, специально для журнала «Информационная безопасность» №4/2025
Периметр без границ
Корпоративная сеть объединяет в единую инфраструктуру различные бизнес-инструменты: средства для хранения и обмена информацией, рабочие приложения и сервисы. Любое нарушение целостности сети, несомненно, приведет к разнообразным негативным последствиям.
Проникновение во внутреннюю инфраструктуру – отправная точка большинства угроз информационной безопасности. Полный доступ к конфиденциальным данным, возможность дестабилизации ключевых сервисов, скрытое присутствие для подготовки более масштабных киберинцидентов – потенциальные последствия, которые все чаще становятся достоянием общественности благодаря освещению в медийном пространстве, особенно после успешных кибератак на крупные компании и организации.
На рынке информационной безопасности защите сетевого периметра уделяется большое внимание. Но каким сегодня является этот периметр? Классическое представление о каких-либо четко очерченных границах давно потеряло свою актуальность. Современные сети значительно усложнились: множество точек входа и способов подключения (проводные и беспроводные), доступ через сервисы VPN – с личных (BYOD) и корпоративных устройств. В итоге периметр становится более условным, размытым и динамичным понятием, чем прежде.
Усложняет ситуацию необходимость предоставления индивидуальных уровней доступа различным группам пользователей: собственным сотрудникам, представителям подрядчиков, внешним разработчикам.
Таким образом, традиционные подходы к защите сетевого периметра оказываются недостаточными. Проверка и контроль должны осуществляться на каждом этапе взаимодействия с сетью, начиная с попытки получить доступ. При этом неважно, где находится пользователь и с какого устройства он подключается, – каждый такой запрос должен рассматриваться как недоверенный. Доступ к каким-либо ресурсам должен предоставляться только после идентификации, аутентификации и оценки комплекса других не менее важных параметров.
Рассмотрим, как при согласованном применении подходов сегментации, защиты конечных точек, сетевой безопасности и управления доступом можно обеспечить соблюдение политик безопасности, направленных на ограничение доступа к различным сегментам корпоративной сети.
Сетевые сегменты как объекты доступа
Сегментация – важнейшая и широко применяемая мера, направленная на минимизацию рисков и снижение потенциального ущерба в случае проникновения в корпоративную сеть. Структура с изолированными друг от друга участками позволяет использовать индивидуальные политики безопасности для каждого отдельного сегмента, что существенно ограничивает возможности злоумышленников и предотвращает бесконтрольное распространение вредоносного программного обеспечения по всей инфраструктуре. Кроме того, сегментацию можно связать с реализацией политик управления доступом, где каждый сегмент может быть отдельным объектом контроля, а взаимодействие с чувствительными данными и сервисами будет возможно только для авторизованных пользователей и устройств.
Целесообразно разделить корпоративную сеть на отдельные зоны в зависимости от бизнес-задач, отраслевой специфики или уровня требований к информационной безопасности, исходя из того, какие сервисы и данные будут развернуты в том или ином сетевом сегменте. В качестве примеров рассмотрим несколько признаков, по которым может осуществляться разделение:
- Функциональное назначение сервисов. Отдельные сегменты для систем управления производством, финансовых приложений, электронной почты и т.д.
- Уровень и критичность обрабатываемых данных. Сервисы или базы данных с конфиденциальной информацией или персональными данными изолируются в более защищенные зоны с повышенными требованиями к безопасности.
- Тип пользователей. Внутренние и удаленные сотрудники, подрядчики или партнеры могут осуществлять работу в разных сетевых сегментах с разными уровнями доступа и индивидуальными ограничениями.
- Тип подключаемого оборудования. Рабочие станции, принтеры, камеры и иную периферию желательно разделить и размещать в отдельных участках сети.
- Гостевые сегменты для посетителей без доступа к внутренним ресурсам.
- Устройства и пользователи, которые не отвечают требованиям политик безопасности, можно размещать в так называемых карантинных сегментах до момента устранения выявленных несоответствий.
Важно учитывать возможность применения ролевой модели доступа, чтобы каждой выделенной зоне можно было сопоставить конкретные группы пользователей, которым необходим доступ к определенному сегменту для выполнения своих должностных обязанностей. Это позволит обеспечить принцип минимально необходимых привилегий, управляемость политиками безопасности, а также упростит взаимодействие и интеграцию с каталогами пользователей.
При реализации правильной сегментации необходимо учитывать не только технические и функциональные характеристики, но и организационную структуру, а также бизнес-процессы компании.
Безопасность конечных точек
Анализ публичных кейсов показывает, что часто одним из факторов, способствующих успешной реализации атак, является использование рабочих станций под управлением устаревших и более не поддерживаемых операционных систем. Они не получают критически важные обновления безопасности, что делает их уязвимыми к современным методам атак и инструментам, которые находятся в арсенале злоумышленников.
Безопасность конечных устройств должна быть одним из приоритетных направлений в рамках общей стратегии обеспечения безопасности любой компании. Каждое устройство, которое подключается к корпоративной сети, должно соответствовать установленным в организации требованиям и политикам. Минимальный набор критериев такого соответствия может состоять из используемой актуальной версии операционной системы со всеми доступными обновлениями безопасности, наличия корпоративного антивирусного решения с регулярно обновляемыми антивирусными базами. Данные меры должны рассматриваться как обязательные условия при принятии решения о предоставлении конечному устройству доступа ко внутренним ресурсам.
Политики доступа
Учитывая, что конкретный сетевой сегмент может рассматриваться как объект, к которому осуществляется доступ, а совокупность пользователя и используемого им устройства – как субъект, становится возможным формирование детализированной политики доступа, которая основывается на параметрах подключения.
Такая политика может учитывать множество факторов, позволяя реализовать гибкую модель управления доступом, значительно повышая уровень защищенности сетевой инфраструктуры.
Правила подключения могут формироваться с учетом контекста, определяемого различными параметрами подключения, а также могут быть адаптированы в зависимости от конкретной ситуации и уровня риска. Контекст может включать в себя следующие ключевые характеристики:
- Способ подключения. Беспроводные соединения могут быть менее защищенными по сравнению с проводными, а удаленный доступ посредством VPN требует еще больше дополнительных механизмов контроля.
- Используемые протоколы аутентификации. Внедрение сертификатов обеспечивает более высокий уровень безопасности по сравнению с использованием логина и пароля (EAP-PEAP).
- Принадлежность пользователя к какой-либо группе, например во внешнем каталоге пользователей.
- Тип оборудования. Подключаемое устройство должно быть идентифицировано и отнесено к определенному профилю, в зависимости от которого может быть предоставлен различный уровень доступа к сетевым ресурсам. Например, зарегистрированная рабочая станция, личное устройство сотрудника или принтер.
- Оценка соответствия устройства, которая определяется на основании проверки соблюдения со стороны АРМ требований внутренних стандартов: наличие актуальных обновлений, антивирусной защиты и т.п. Несоответствие минимальным требованиям должно стать основанием для ограничения доступа и помещения устройства в карантин.
- Через какое сетевое оборудование осуществляется подключение и где оно физически расположено – помогает определить уровень доверия к подключению.
Это лишь малая часть параметров, которые в совокупности позволяют выстраивать динамическую и контекстно-зависимую модель управления доступом к участкам корпоративной сети. Реализация такой модели возможна средствами систем контроля доступа к сети (Network Access Control, NAC). Такие системы, включая решение Blazar NAC, способны учитывать указанные аспекты при принятии решений о предоставлении или ограничении доступа, а также адаптировать политики в зависимости от потребностей и происходящих изменений в бизнес-процессах.
Рис. Схема работы Blazar Network Access Control после внедрения
Таким образом, правила подключения могут и должны отличаться в зависимости от контекста, что критически важно для обеспечения безопасности инфраструктуры за счет возможности гибкой настройки доступа для различных типов устройств и пользователей.
Заключение
Необходимо признать, что несмотря на внедрение современных средств безопасности, множество которых представлено на рынке, стопроцентную защиту от целенаправленных атак, непреднамеренных или случайных инцидентов гарантировать невозможно. Применение системы Blazar Network Access Control позволяет значительно повысить уровень защищенности сетевой инфраструктуры и минимизировать последствия возможных инцидентов. Даже в случае успешной атаки NAC существенно ограничивает возможный ущерб. За счет изоляции отдельных участков даже в случае успешной компрометации злоумышленник не сможет беспрепятственно перемещаться по сети и получать доступ ко всем ресурсам, а вредоносное ПО не сможет распространяться за пределы зараженного сегмента. Таким образом, воздействие на бизнес-процессы будет сведено к минимуму и затронет лишь малую часть инфраструктуры. Использование NAC превращает сеть в контролируемое пространство, способное противостоять большинству современных угроз.
02.10.2025
