«Скелет» инфраструктуры. Без грамотной сегментации применение средств защиты малоэффективно

«Скелет» инфраструктуры. Без грамотной сегментации применение средств защиты малоэффективно

Одним из ключевых элементов защиты является грамотное сегментирование сети — разделение её на изолированные зоны для контроля и управления трафиком. В этой статье мы кратко рассмотрим, зачем нужно сегментирование, какие типы сегментирования существуют, как правильно создавать сегменты и с какими проблемами можно столкнуться при реализации политик доступа.

Для чего создаются сегменты?

Сегмент имеет весьма дуальную природу. Его используют как айтишники, так и безопасники. Мы рассмотрим сегментацию с точки зрения безопасности. Основная цель сегментирования — уменьшение площади атаки и получение полного контроля над потоками трафика в сети. Когда все устройства находятся в одной сети (так называемая плоская сеть), злоумышленник, получив доступ к одному узлу, может беспрепятственно перемещаться по всей инфраструктуре. Такое перемещение называют горизонтальным, и оно одно из самых опасных, так как его весьма трудно детектировать без специализированных средств защиты. Сегментирование позволяет:

• Контролировать трафик между сегментами с помощью правил доступа (accesslists).
• Изолировать критические системы от потенциально уязвимых зон.
• Соблюдать требования регуляторов, например, по защите персональных данных.
• Упрощать администрирование за счёт модульности.
• Применять дополнительные средства защиты (NGFW, IPS, NTA и т. д.) к конкретному сегменту сети.

Важно помнить, что сегмент создаётся ради двух основных задач:

1. Полная изоляция хоста или группы хостов.
2. Контроль межсегментного трафика.

В корпоративной среде чаще преобладает вторая задача, так как большинство сегментов должны друг с другом общаться в том или ином виде. Для подобного контроля трафика и требуются правила доступа на сетевом оборудовании (L3-коммутатор, маршрутизатор, межсетевой экран и т. д.). В таком случае создание сегментов без настройки правил доступа не имеет смысла. Сегмент без политики доступа — это всего лишь виртуальная граница, которую злоумышленник легко преодолеет.

Логическое и физическое сегментирование

Существует два основных типа сегментирования:

1. Физическое сегментирование

Предполагает использование отдельных физических устройств для разных сегментов. Например, выделенные коммутаторы, серверы или даже NGFW для DMZ. Этот подход обеспечивает максимальную изоляцию, но является дорогостоящим.

2. Логическое сегментирование

Реализуется с помощью VLAN (Virtual Local Area Network). Это более гибкий и экономичный вариант, позволяющий создавать виртуальные сегменты на одном оборудовании. Однако он требует тщательной настройки и несёт риски ошибок конфигурации.

На практике часто используется комбинация обоих подходов: критичные сегменты (например, периметр и DMZ) выделяются физически, а внутренние сегменты — логически.

Здесь ещё можно дополнить, что сегментирование доступно не только на коммутаторах (VLAN) и втором уровне модели OSI. Под задачу сегментации также подходит:

• VRF (изоляция маршрутной информации в рамках маршрутизатора или межсетевого экрана);
• виртуальные контексты (логическое разделение межсетевых экранов и NGFW).

Однако данная тема выходит за рамки нашей статьи.

Принципы создания сегментов

По какому принципу формируются эти сегменты? Какой трафик нам нужно изолировать и потом «рулить» им? Есть несколько основных методов:

• По функциональности. То есть группировка по функциям, которые выполняют устройства, например, корпоративные серверы или сервисы, рабочие станции, принтеры и т. д.
• По отделам и подразделениям. Например, отдел продаж, маркетинга, IT, бухгалтерии и т. д. Такая группировка в основном используется для учётных записей в службе управления каталогами («учётки» в Active Directory, OpenLDAP, ALD Pro, FreeIPA и т. д.). Подобные группы почти всегда используются для управления политикой безопасности на периметральных NGFW, когда можно определить, кому и какие ресурсы можно посещать.
• По типу устройств. Например, настольные компьютеры, ноутбуки, мобильные устройства и т. д. Насколько мне известно, так никто не делает, и уже очень давно.
• По уровням доступа или безопасности. Группировка в зависимости от уровня доступа к ресурсам сети или требований безопасности.
• По локации. Например, разные этажи могут являться разными сегментами. Раньше это была довольно популярная практика.

Какой вариант лучше? По моему субъективному мнению, ни один из них в чистом виде не подходит. По опыту, чаще используется комбинация первого (по функциональности) и четвёртого варианта (по уровням безопасности). То есть мы выделяем в сегмент некую группу, в состав которой входят устройства или сервисы с похожей функциональностью или ролью, а также с похожим уровнем критичности с точки зрения безопасности.

Сегментация vs микросегментация

Микросегментация — это создание минимально возможных сегментов, часто на уровне отдельных сервисов или виртуальных машин. Она обеспечивает максимальную гранулярность контроля, но подходит далеко не для всех сценариев.

В корпоративных сетях микросегментация может привести к чрезмерному усложнению конфигурации. Большое количество VLAN и правил доступа увеличивает риск ошибок и затрудняет администрирование. Часто администраторы, устав от сложностей, разрешают весь трафик, сводя на нет все усилия по безопасности.

Микросегментация оправдана в ЦОДах, где требуется полная изоляция сервисов. В корпоративной сети лучше придерживаться баланса между безопасностью и удобством управления.

Типовые сегменты сети

В большинстве организаций можно выделить следующие ключевые сегменты:

1. Интернет — внешние подключения.

2. DMZ:

• публичный DMZ (публичные сервисы компании);
• внутренний DMZ (сервисы, доступные для филиалов).

3. Серверный сегмент:

• инфраструктурный (AD, DNS, DHCP);
• сервисный (1С, почта, файловые хранилища);
• резервное копирование (CPKB).

4. Управляющий сегмент — для администрирования критичных систем.

5. Wi-Fi:

• корпоративный;
• гостевой;
• IoT (умные устройства).

6. Пользовательский сегмент:

• обычные пользователи;
• администраторы;
• бухгалтерия;
• периферийные устройства.

Такой подход позволяет эффективно управлять трафиком и применять различные уровни защиты.

Проблематика создания и поддержания правил доступа

Самая сложная задача после сегментирования — создание и поддержание актуальной политики доступа. Как вы помните, ИБ — это процесс, а значит, политика доступа будет «живой». Будут появляться новые сети, хосты, объекты, правила. Основные проблемы:

1. Трудозатратность

Для политики «запрещено всё, что не разрешено» необходимо знать все сервисы, порты и пользователей, которым нужен доступ. В больших сетях это может означать тысячи правил.

2. Динамичность инфраструктуры

Сервисы добавляются, изменяются, перемещаются. Правила, актуальные сегодня, могут устареть уже завтра.

3. Сложность администрирования

Большое количество правил затрудняет их анализ и повышает риск ошибок.

4. Отсутствие автоматизации

Ручное управление политиками неэффективно и медленно.

Для решения этих проблем можно использовать:

1. Log-анализаторы — для изучения трафика по логам сетевых устройств. Не путать с SIEM-системой, которая, безусловно, справится с этой задачей, но будет излишне дорогой для банальной статистики по логам.
2. NetFlow-анализаторы — для визуализации потоков данных. Особенно полезны диаграммы Sankey, которые помогают сформировать нужную политику доступа.
3. Сканеры сети — для инвентаризации активных хостов и сервисов. Не путать со сканером уязвимости, который выполняет более глубокое сканирование и ищет возможные проблемы с безопасностью.
4. Системы управления политиками безопасности (NSPM) — для автоматизации управления правилами. Поможет найти неиспользуемые или затенённые правила, дубликаты и противоречия.

Заключение

Сегментирование сети — это не просто лучшая практика, а необходимость в современной кибербезопасности. Оно позволяет контролировать трафик, изолировать критические ресурсы и снижать риски успешных атак. Однако без грамотной политики доступа и инструментов для её поддержания сегментирование теряет свой смысл. Начинайте с базовых сегментов, придерживайтесь принципа минимальных привилегий и не забывайте о балансе между безопасностью и удобством управления.

В качестве резюме можно сформулировать дополнительный тезис: без грамотной сегментации применение дополнительных технических средств защиты (NGFW/IPS/NTA и т. д.) является очень затруднительным и малоэффективным. Поэтому для начала необходимо создать «скелет» вашей инфраструктуры, который затем будет обрастать «мясом» в виде различных бесплатных или коммерческих средств защиты.