Журнал "Information Security/ Информационная безопасность" #4, 2025

70 • СПЕЦПРОЕКТ также понятные требования к доступу (так как нужно понимать, что нужно выполнить, чтобы получить доступ). Говоря про Zero Trust, мы априори имеем в виду NAC. Михаил Спицын, "Газинформсервис" Выбор по принципу "или" в вопросах безопасности – крайне неосторожный шаг. Критичность последствий растет вместе с масштабами инфраструктуры, бюджетом и объемами обрабатываемых данных, поэтому оптимальный путь – не противопоставлять решения, а сочетать их с выверенными политиками информа- ционной безопасности, в том числе с микросегментацией. NAC-системы решают большое количество вопросов: регулируют как внутренний, так и внешний доступы, профилируют как устройства, так и пользователей. Если нужно развер- нуть быструю работоспособную ИБ, то внедрение NAC зачастую оказывается быстрее и практичнее, особенно с учетом готовых профилей для большинства устройств и сетевого оборудования. Николай Санагурский, Axel PRO Нет, нельзя. NAC – фундамент Zero Trust. Он обеспечивает ключевой прин- цип: проверку и аутентификацию каж- дого устройства до его входа в сеть, создавая изолированные сегменты. Без NAC неконтролируемые устройства полу- чат сетевой доступ, и последующие механизмы (микросегментация, IAM) будут бороться с уже проникшей угрозой, что нарушает саму концепцию Zero Trust. Роман Полухин, Eltex Однозначно, нет. Подход нулевого доверия основан на простой идее: "нико- му, ничему, нигде и никогда нельзя доверять по умолчанию". Следовательно, при каждом подключении устройств к локальным или публичным сетям требу- ется обязательная аутентификация и авторизация, за которую как раз и отве- чают NAC-системы. Иван Рогалев, BI.ZONE Полноценный Zero Trust эффективнее строить при сочетании NAC, ZTNA и PAM. NAC обеспечивает контроль устройств и сегментацию в корпоратив- ной сети, ZTNA – защищенное под- ключение удаленных сотрудников, PAM – управление привилегированным досту- пом и действиями подрядчиков. Однако даже такая комбинация не исчерпывает концепцию Zero Trust: это лишь прибли- жение к ней, так как сама модель значи- тельно шире и охватывает архитектур- ные, организационные и процессные аспекты. Александр Черных, Angara Security На практике добиться полноценной модели Zero Trust без контроля сетевого доступа крайне сложно. NAC может выступать ключевым элементом архи- тектуры нулевого доверия, позволяющим применять политики в зависимости от контекста – кто, откуда и с какого устройства. Без NAC будет отсутствовать первый фильтр, препятствующий под- ключению недоверенных устройств. Именно с него начинается контроль всего доступа в последующем – сетево- го, пользовательского и прикладного. Евгений Варламов, "Газинформ- сервис" Zero Trust – больше концептуальная вещь, поэтому сложно определить чет- кие критерии "завершения строитель- ства". Если говорить о практической реализации в виде архитектуры ZTNA, то стоит отметить, что, в первую очередь, это набор функций строгой аутентифи- кации и авторизации, который может быть реализован разными решениями. При этом вендоры этих решений могут не позиционировать себя как NAC, но выполнять эти функции. Строгой клас- сификации здесь нет. Евгений Свиридов, iTPROTECT Учитывая функции NAC, построить без него полноценный ZTNA сложно. Главное, без NAC не получится реа- лизовать проверку конечных устройств на уровне сети. А ZTNA как раз под- разумевает полный контроль над устройствами и пользователями, под- ключающимся к корпоративным сетям. В рамках этого подхода доступ разре- шается только устройствам, соответ- ствующим политикам комплаенса и доступа, а пользователи могут открыть только те ресурсы, которые им разре- шены. NAC позволяет отслеживать эти процессы и блокировать наруше- ния. Михаил Спицын, "Газинформсервис" Если собрать архитектуру на микро- сегментации, IGA, прокси, шлюзах и агентских решениях, будет Zero Trust с разграничением доступов, но уже внутри периметра сети. Другой вариант – использовать агентские DLP-решения, но они, во-первых, не защищают от внешних угроз, а во-вторых, часто слиш- ком тяжелые из-за ресурсоемких аген- тов. IGA-решения эффективны с SIEM, их интеграция полезна, но она не дает полноценного Zero Trust. В отличие от NAC, который блокирует доступ на гра- нице и также имеет интеграционный характер в отношении SIEM, создавая связку, которая заметно выигрывает в покрытии угроз. Поэтому именно NAC критически упрощает практическое построение Zero Trust. Александр Черных, Angara Security Вопрос интеграции с другими механиз- мами зависит от конкретных целей. Чаще всего наиболее целесообразным будет комбинированный подход: сохранение автономности там, где важна надежность и удобство, и глубокая интеграция лишь тогда, когда это действительно будет приносить пользу, а не создавать допол- нительные точки отказа. Николай Санагурский, Axel PRO Глубокая интеграция необходима. Автономный NAC – просто барьер, при- нимающий решения на основе устарев- ших данных. Интеграция с IAM обес- печивает контроль доступа на основе личности пользователя, а не просто устройства. Связь с EDR/XDR позволяет проверять соответствие политикам без- опасности и изолировать скомпромети- рованные конечные точки в реальном времени. Включение в SIEM/SOAR обес- печивает расследование инцидентов. Только так NAC становится оркестрато- ром доступа в архитектуре Zero Trust, а не изолированным рудиментом. Евгений Варламов, "Газинформсервис" Качественно реализованная интегра- ция приносит пользу, снижая время реа- гирования на инциденты и повышая уро- вень автоматизации системы. Но важна не интеграция сама по себе, важны кон- кретные сценарии взаимодействия раз- ных продуктов. Требования к интегра- циям, на мой взгляд, должны опреде- ляться конкретным проектом и выстроен- ными у заказчика бизнес-процессами. В этом случае от подобной интеграции эффективность NAC возрастет. Виталий Даровских, UserGate Зависит от предпочтений. Но действи- тельно, усилить NAC другими решениями можно. Например, его отлично дополнит IDM. XDR – это старший брат NAC (если NAC дополнить EDR, то получим XDR). Иван Рогалев, BI.ZONE NAC – самостоятельный элемент архи- тектуры, выполняющий функцию барь- ерного контроля в корпоративной сети. В автономном режиме его функциональ- ность ограничена проверкой на входе, но при интеграции с другими системами он способен обогащать контекст и обес- печивать непрерывность проверки дове- рия. Это позволяет принимать решения о доступе динамически, исходя из акту- альных рисков, и повышает эффектив- ность всей системы безопасности. Можно ли построить полно- ценный Zero Trust без NAC? Нужно ли NAC глубоко интегрировать со всеми системами (IAM, XDR, DLP), или лучше держать его как автономный барьерный уровень?