Журнал "Information Security/ Информационная безопасность" #4, 2025

Периметр без границ Корпоративная сеть объединяет в еди- ную инфраструктуру различные бизнес- инструменты: средства для хранения и обмена информацией, рабочие прило- жения и сервисы. Любое нарушение целостности сети, несомненно, приведет к разнообразным негативным послед- ствиям. Проникновение во внутреннюю инфра- структуру – отправная точка большин- ства угроз информационной безопасно- сти. Полный доступ к конфиденциальным данным, возможность дестабилизации ключевых сервисов, скрытое присут- ствие для подготовки более масштабных киберинцидентов – потенциальные последствия, которые все чаще стано- вятся достоянием общественности бла- годаря освещению в медийном про- странстве, особенно после успешных кибератак на крупные компании и орга- низации. На рынке информационной безопасно- сти защите сетевого периметра уделяется большое внимание. Но каким сегодня является этот периметр? Классическое представление о каких-либо четко очер- ченных границах давно потеряло свою актуальность. Современные сети значи- тельно усложнились: множество точек входа и способов подключения (провод- ные и беспроводные), доступ через сер- висы VPN – с личных (BYOD) и корпора- тивных устройств. В итоге периметр ста- новится более условным, размытым и динамичным понятием, чем прежде. Усложняет ситуацию необходимость предоставления индивидуальных уров- ней доступа различным группам поль- зователей: собственным сотрудникам, представителям подрядчиков, внешним разработчикам. Таким образом, традиционные подходы к защите сетевого периметра оказы- ваются недостаточными. Проверка и контроль должны осуществляться на каждом этапе взаимодействия с сетью, начиная с попытки получить доступ. При этом неважно, где находится пользова- тель и с какого устройства он подключа- ется, – каждый такой запрос должен рас- сматриваться как недоверенный. Доступ к каким-либо ресурсам должен предо- ставляться только после идентификации, аутентификации и оценки комплекса дру- гих не менее важных параметров. Рассмотрим, как при согласованном применении подходов сегментации, защиты конечных точек, сетевой без- опасности и управления доступом можно обеспечить соблюдение политик без- опасности, направленных на ограниче- ние доступа к различным сегментам корпоративной сети. Сетевые сегменты как объекты доступа Сегментация – важнейшая и широко применяемая мера, направленная на минимизацию рисков и снижение потен- циального ущерба в случае проникно- вения в корпоративную сеть. Структура с изолированными друг от друга участ- ками позволяет использовать индиви- дуальные политики безопасности для каждого отдельного сегмента, что суще- ственно ограничивает возможности зло- умышленников и предотвращает бес- контрольное распространение вредонос- ного программного обеспечения по всей инфраструктуре. Кроме того, сегмента- цию можно связать с реализацией поли- тик управления доступом, где каждый сегмент может быть отдельным объ- ектом контроля, а взаимодействие с чув- ствительными данными и сервисами будет возможно только для авторизо- ванных пользователей и устройств. Целесообразно разделить корпора- тивную сеть на отдельные зоны в зави- симости от бизнес-задач, отраслевой специфики или уровня требований к информационной безопасности, исходя из того, какие сервисы и данные будут развернуты в том или ином сетевом сег- менте. В качестве примеров рассмотрим несколько признаков, по которым может осуществляться разделение: l Функциональное назначение сервисов. Отдельные сегменты для систем управ- ления производством, финансовых при- ложений, электронной почты и т.д. l Уровень и критичность обрабатывае- мых данных. Сервисы или базы данных с конфиденциальной информацией или персональными данными изолируются в более защищенные зоны с повышен- ными требованиями к безопасности. l Тип пользователей. Внутренние и уда- ленные сотрудники, подрядчики или партнеры могут осуществлять работу в разных сетевых сегментах с разными уровнями доступа и индивидуальными ограничениями. l Тип подключаемого оборудования. Рабочие станции, принтеры, камеры и иную периферию желательно разделить и размещать в отдельных участках сети. l Гостевые сегменты для посетителей без доступа к внутренним ресурсам. l Устройства и пользователи, которые не отвечают требованиям политик без- опасности, можно размещать в так назы- ваемых карантинных сегментах до момента устранения выявленных несо- ответствий. Важно учитывать возможность приме- нения ролевой модели доступа, чтобы каждой выделенной зоне можно было сопоставить конкретные группы пользо- вателей, которым необходим доступ к определенному сегменту для выполне- ния своих должностных обязанностей. Это позволит обеспечить принцип мини- мально необходимых привилегий, управ- ляемость политиками безопасности, а также упростит взаимодействие и интег- рацию с каталогами пользователей. При реализации правильной сегмен- тации необходимо учитывать не только технические и функциональные характе- ристики, но и организационную структуру, а также бизнес-процессы компании. Безопасность конечных точек Анализ публичных кейсов показывает, что часто одним из факторов, способ- ствующих успешной реализации атак, 58 • СПЕЦПРОЕКТ Сетевой фейс-контроль как элемент стратегии безопасности редняя корпоративная сеть – это десятки точек входа, сотни устройств и постоянные удаленные подключения. В такой среде периметр становится условным, а значит, контроль доступа должен осуществляться на каждом этапе – такой подход лежит в основе стратегии сетевого фейс-контроля. С Александр Черных, директор Центра разработки Angara Security Фото: Angara Security