Открыть сервис

Микросегментация сети

Микросегментация сети — это модель сетевой безопасности, при которой внутренняя сеть организации разделяется на множество изолированных логических сегментов, вплоть до уровня отдельных рабочих нагрузок (виртуальных машин, контейнеров, физических серверов). В отличие от традиционной сегментации, основанной на IP-адресах и подсетях, микросегментация оперирует на уровне приложений, пользователей и устройств, позволяя применять политики безопасности, которые следуют за перемещающейся нагрузкой в динамических средах (например, в облачных или контейнерных).

История и предпосылки появления

Традиционная модель безопасности сети строилась на периметральном подходе («замок и ров»), где основное внимание уделялось защите границ сети. Внутренний трафик считался доверенным. С развитием виртуализации, облачных вычислений и микросервисной архитектуры этот подход перестал быть эффективным. Злоумышленник, проникший в сеть, мог свободно перемещаться между узлами (латеральное движение), используя уязвимости.

Концепция «нулевого доверия» (Zero Trust), сформулированная аналитиком Forrester Research Джоном Киндервагом в 2010 году, стала теоретической основой микросегментации. Её ключевой принцип — «никогда не доверяй, всегда проверяй» — требовал проверки каждого запроса, независимо от его источника. Первые коммерческие решения по микросегментации появились в середине 2010-х годов (например, VMware NSX, Illumio, Guardicore). К 2020-м годам микросегментация стала стандартной практикой для крупных предприятий и государственных организаций, включая российские компании, переходящие на импортозамещённые решения (например, «СерчИнформ» или «Код Безопасности»).

Принципы работы

Микросегментация реализует политики безопасности на основе следующих факторов:

  • Идентификация рабочей нагрузки: вместо IP-адреса используется уникальный идентификатор (метка, тег), связанный с приложением, контейнером или виртуальной машиной.
  • Контекстная информация: политика учитывает не только адрес, но и тип трафика (протокол, порт), пользователя, роль устройства, временные метки.
  • Динамическое применение: при миграции виртуальной машины или контейнера на другой хост политика безопасности перемещается вместе с ней.

Политики микросегментации обычно реализуются через:

  • Программно-определяемые сети (SDN): управление трафиком осуществляется на уровне гипервизора или оркестратора, минуя физические коммутаторы.
  • Встроенные брандмауэры (Distributed Firewall): правила фильтрации применяются непосредственно на виртуальных сетевых интерфейсах, а не на центральном межсетевом экране.
  • Агенты на хостах: для физических серверов или устаревших ОС устанавливается программный агент, перехватывающий и фильтрующий трафик.

Классификация и виды

По способу реализации

  1. Агентная (Host-based): на каждый узел (сервер, рабочую станцию) устанавливается программный агент, который управляет политиками. Примеры: Illumio Core, Guardicore Centra.
  2. Безагентная (Network-based): политики реализуются на уровне сетевой инфраструктуры — коммутаторов, маршрутизаторов, брандмауэров. Примеры: VMware NSX, Cisco ACI.
  3. Гибридная: сочетает оба подхода, обеспечивая защиту как виртуальных, так и физических сред.

По масштабу сегментации

  • Уровень приложений: сегментация между микросервисами в рамках одного приложения (например, в Kubernetes).
  • Уровень виртуальных машин: изоляция между разными серверами в ЦОД.
  • Уровень пользователей: ограничение доступа на основе ролей (RBAC) и контекста (например, доступ только к определённым базам данных).

Применение

В корпоративных сетях

Микросегментация используется для:

  • Защиты от латерального движения: если злоумышленник получает доступ к одному серверу, он не может автоматически перейти к другим системам.
  • Изоляции критически важных систем: например, серверы с персональными данными (ПДн) или платёжные системы изолируются от остального трафика.
  • Соответствия требованиям регуляторов: в России — требования ФСТЭК, 152-ФЗ «О персональных данных», стандарты ЦБ РФ. Микросегментация позволяет документально подтвердить разграничение доступа.

В облачных средах

В публичных облаках (AWS, Azure, Яндекс.Облако) микросегментация реализуется через:

  • Виртуальные частные облака (VPC) и подсети.
  • Сетевые политики Kubernetes (Network Policies) — для контейнерных сред.
  • Сервисные сетки (Service Mesh), например, Istio, которые управляют трафиком между микросервисами.

В промышленных сетях (OT)

На объектах критической инфраструктуры (энергетика, транспорт) микросегментация применяется для изоляции промышленных контроллеров (PLC) от офисных сетей и интернета, что снижает риск атак типа Stuxnet.

Преимущества и недостатки

Преимущества

  • Снижение поверхности атаки: даже при компрометации одного узла ущерб локализуется.
  • Гибкость: политики легко адаптируются к изменениям в инфраструктуре.
  • Прозрачность: администратор видит, какие приложения и сервисы обмениваются данными, что упрощает аудит.
  • Соответствие стандартам: помогает выполнять требования по изоляции сред (например, разделение тестовой и продуктивной сред).

Недостатки

  • Сложность внедрения: требует глубокого понимания сетевых потоков и приложений. Ошибки в политиках могут привести к нарушению работы сервисов.
  • Производительность: агентные решения потребляют ресурсы CPU и памяти на хостах, особенно при большом количестве правил.
  • Управляемость: в масштабах тысяч узлов ручное написание политик становится невозможным — требуется автоматизация и инструменты визуализации.
  • Совместимость: не все устаревшие приложения (Legacy) поддерживают динамическую сегментацию, особенно в промышленных средах.

Примеры реализации

  • В российской компании «Сбер»: микросегментация используется для изоляции банковских транзакционных систем от внутренних офисных сетей. Политики применяются на уровне виртуальных машин в облачной платформе.
  • В государственных информационных системах (ГИС): по требованиям ФСТЭК, сегментация обязательна для систем, обрабатывающих данные категории К1 и К2. Микросегментация позволяет выполнить эти требования без физического разделения серверов.
  • В Kubernetes-кластерах: политики Network Policies ограничивают трафик между подами (Pod). Например, только под с веб-сервером может обращаться к поду с базой данных, а остальные — нет.

Критика и ограничения

Критики микросегментации отмечают, что она не является панацеей. Основные проблемы:

  • Человеческий фактор: администраторы могут ошибочно разрешить доступ к критическим системам, создав небезопасные правила.
  • Сложность мониторинга: при большом количестве сегментов трудно отследить аномалии в трафике.
  • Зависимость от централизованного управления: если контроллер SDN или оркестратор выходит из строя, политики могут перестать применяться, что приведёт к открытию доступа.

В России дополнительным ограничением является необходимость использования сертифицированных ФСТЭК средств защиты информации (СЗИ). Не все зарубежные решения микросегментации (например, Illumio) имеют сертификаты, поэтому организации вынуждены использовать отечественные аналоги, такие как «СерчИнформ» (SIEM) или «Код Безопасности» (межсетевые экраны нового поколения).

Перспективы развития

С развитием технологий микросегментация эволюционирует в сторону:

  • Автоматизации на основе ИИ: системы машинного обучения анализируют трафик и автоматически предлагают оптимальные политики.
  • Интеграции с SIEM и SOAR: микросегментация становится частью автоматического реагирования на инциденты (например, при обнаружении атаки изолируется скомпрометированный узел).
  • Использования в 5G и IoT: сегментация на уровне устройств «Интернета вещей» (IoT) для предотвращения атак через умные датчики.

Источники

  1. Kindervag, J. (2010). «Build Security Into Your Network’s DNA: The Zero Trust Model of Information Security». Forrester Research.
  2. Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006.
  3. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
  4. «Microsegmentation: A Practical Guide». Gartner, 2021.
  5. «Сетевая безопасность в эпоху Zero Trust». Журнал «Information Security/Информационная безопасность», № 3, 2023.
  6. Документация Kubernetes: «Network Policies».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →