Журнал "Information Security/ Информационная безопасность" #1, 2026

Дата-центр – это не еще один сегмент корпоративной сети. Хотя формально архитектурные принципы остаются теми же (межсетевое экранирование, сегмен- тация, контроль приложений, инспекция трафика), но на практике среда ЦОД предъявляет к этим мерам требования, которые заметно отличаются от того, что обычно встречается на офисном периметре. Прежде всего меняется характер нагрузки. Если в классической корпора- тивной инфраструктуре значительная часть трафика проходит через периметр (так называемый трафик North-South), то в ЦОД основная активность разво- рачивается внутри самой инфраструк- туры (трафик East-West). Сервисы актив- но взаимодействуют друг с другом, мик- росервисы обмениваются данными между узлами, системы хранения и вычислительные кластеры формируют плотные потоки East-West-трафика. В результате устройства сетевой безопас- ности оказываются не только точкой контроля доступа с внешним миром, но и принимают на себя значительную часть рабочей нагрузки. Варианты архитектуры сетевой защиты в ЦОД По мере усложнения инфраструктур дата-центров меняется и архитектура сетевой защиты. Если раньше межсете- вой экран практически всегда воспри- нимался как отдельное устройство на границе сети, то сегодня защита может реализовываться на разных уровнях. В результате рядом с классическими NGFW появились несколько архитек- турных подходов, каждый из которых решает свою часть задач. Один из наиболее известных вариан- тов – распределенный межсетевой экран (Distributed Firewall). В этой модели функ- ции фильтрации выполняются не одним центральным устройством, а распреде- ляются по гипервизорам или сетевым узлам внутри виртуализированной инфраструктуры. Такой подход позво- ляет контролировать трафик непосред- ственно между виртуальными машинами или контейнерами и хорошо подходит для сред, где значительная часть ком- муникаций происходит внутри одного кластера. Похожую задачу решают системы мик- росегментации. Их основная цель – мак- симально детализировать контроль сете- вых взаимодействий между сервисами и сегментами инфраструктуры. В отличие от классической сегментации на уровне сетевых зон, микросегментация позво- ляет описывать доступ на уровне отдель- ных сервисов или приложений. Конечно, это особенно актуально для архитектур с большим количеством микросервисов, где число взаимодействий между ком- понентами может быть очень высоким. В современных облачных и контей- нерных средах все чаще используется и другой уровень защиты – Service Mesh Security. Здесь контроль взаимодействия между сервисами переносится в саму прикладную среду и реализуется через сервисную сеть, которая управляет аутентификацией, шифрованием и поли- тиками доступа между микросервисами. Этот подход позволяет контролировать взаимодействие приложений независи- мо от сетевой топологии. Наконец, в последние годы активно развивается аппаратное направление, связанное с использованием SmartNIC и DPU. Эти устройства позволяют пере- носить часть сетевых функций (включая фильтрацию трафика и базовые меха- низмы безопасности) непосредственно на сетевые адаптеры серверов. В резуль- тате с центральных сетевых устройств снимается часть нагрузки, а обработка трафика может происходить ближе к источнику его возникновения. На практике все эти подходы редко используются изолированно. В крупных инфраструктурах они обычно дополняют друг друга: распределенные механизмы защиты контролируют взаимодействие внутри сервисных сред, а высокопроиз- водительные NGFW по-прежнему остаются ключевым элементом сегмен- тации и защиты сетевых потоков на уровне всей инфраструктуры ЦОД. Корпоративный NGFW в ЦОД Давайте теперь проведем мысленный эксперимент: поставим в ЦОД обычный корпоративный NGFW и спрогнозируем его поведение в этой среде. На первых этапах развития инфра- структуры различие между межсетевым экраном для корпоративной сети и систе- мой, рассчитанной на среду ЦОД, может быть практически незаметным. Пока политика доступа относительно компакт- на, а трафик распределен по нескольким магистральным направлениям, большин- ство NGFW демонстрируют вполне надежную работу. Однако по мере роста инфраструктуры начинают проявляться особенности архитектуры, которые ограничивающим масштабирование. Чаще всего это проявляется в тот момент, когда политика безопасности перестает быть небольшой и аккуратной конфигурацией, а превращается в рабо- чий инструмент управления доступом между десятками сервисов. В реальной инфраструктуре правила накапливаются постепенно: добавляются новые контуры, появляются исключения, меняются схемы взаимодействия систем. И в какой-то момент объем правил начинает измеряться уже не тысячами, а десятка- ми тысяч записей, и тогда становится заметно, насколько эффективно устрой- ство обрабатывает такую структуру. Если механизм сопоставления трафика с правилами плохо масштабируется, даже небольшие изменения в политике начинают влиять на производительность системы. 36 • СПЕЦПРОЕКТ NGFW, который выдерживает масштаб ЦОД ата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштаби- рования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектиро- вался для совсем других условий. Д Кирилл Прямов, менеджер по развитию домена “Сетевая безопасность”, UserGate Фото: UserGate