Блог

Базис защиты: пять ключевых принципов для обеспечения сетевой безопасности

Безопасность сети сегодня является одним из многочисленных уровней в общей системе построения системы защиты информации. Технические меры, среди которых правильная конфигурация архитектуры и технических средств сетевой инфраструктуры, должны быть реализованы на развернутых внутри организации серверах, автоматизированных рабочих местах администраторов и корпоративных пользователей.

Для обеспечения сетевой безопасности существует ряд базовых принципов, соблюдение которых позволит снизить риск компрометации данных инфраструктуры и их утечки. Подробнее о базисе и основных моментах выстраивания сетевой безопасности расскажет Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», центра компетенций по информационной безопасности.
Прежде всего обратимся к теоретической базе, в инфраструктуре всегда существуют вертикальный и горизонтальный трафики:

  • Вертикальный трафик циркулирует между корпоративной сетью и Интернетом, например, при обращении корпоративных пользователей к сайтам, так и в обратную сторону, при обращении внешних пользователей к сайту компании, размещенному в демилитаризованной зоне (DMZ). Сюда же относится локальный сервер, получающий обновление какого-либо программного обеспечения с ресурса разработчика.
  • Горизонтальный трафик не выходит за пределы локальной сети, например, когда пользователь подключается со своего рабочего места к сервисам для обеспечения рабочих задач (например, 1С), а администратор осуществляет подключение к web-интерфейсу управления маршрутизатора.
«Недостаточный контроль за горизонтальным трафиком так же опасен по части последствий, как и неподконтрольный вертикальный. Кибератака, начавшаяся с хоста в локальной сети, может привести к компрометации всей инфраструктуры. Поэтому базовые принципы сетевой безопасности должны применяться в одинаковой мере к обоим видам трафика», — отметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Рассмотрим основные принципы для обеспечения сетевой безопасности:
Принцип №1: сегментирование
Что из себя представляет сегментирование сети? Сегментирование сети — это разделение, в основном логическое, корпоративной сети на отдельные подсети. Например, при помощи Virtual Local Area Network (VLAN). При этом устанавливаются ограничения на прохождение трафика из одной подсети в другую, вплоть до полного запрета на передвижение между сегментами сети.

Разделение на подсети позволяет реализовать базовые правила разграничения доступа к ресурсам компании, в том числе, критическим. Это снижает скорость продвижения злоумышленника в случае атаки, увеличивает шансы его обнаружения и реагирования на инцидент.

Минимальными пунктами к реализации первого принципа являются выделение четырех элементов:

  1. Публичные ресурсы (DMZ);
  2. Серверный сегмент;
  3. Сегмент администрирования;
  4. Пользовательский сегмент
Принцип №2: правила доступа
Правила доступа — это базовый инструмент для обеспечения защищенности инфраструктуры на любом уровне, в том числе, на сетевом. Они ограничивают прохождение трафика как между отдельными устройствами (или устройствами/сервисами и пользователями), так и между сегментами сети в целом.
Обязательные ограничения доступа:

  • Подключение к интерфейсам управления серверами разрешено только из сегмента администраторов;
  • Установление запрета на подключение к сегменту администрирования из пользовательской сети;
Правила доступа внутри сегмента:

  • Обязательное разграничение доступов по ролям (например, сетевой администратор имеет доступ только для работы с сетевым оборудованием, доступ же к контроллеру домена заблокирован);
  • Ограничение подключения пользователей друг к другу;
  • Запрет на прямое обращение серверов к внешним ресурсам за обновлениями (рекомендуется использовать единый сервер обновлений, организованный в демилитаризованной зоне (DMZ);
  • Выявление и полный запрет доступа неиспользуемых служб и протоколов (например, отключение IPv6, устаревших протоколов (SMBv1 или TLS 1.0/1.1), запрет подключения SSH там, где это в этом нет необходимости);
  • Обязательная замена паролей, установленных производителем, на учетных записях администраторов всех сетевых устройств.
Принцип №3: анализ трафика
Что такое анализ трафика (NTA)? Network Traffic Analysis (NTA) представляет процесс непрерывного сбора и изучения данных, проходящих через компьютерную сеть. Отличие правил этого принципа от предыдущих в том, что они не анализируют содержимое, так как являются сами пакетными фильтрами. Это приводит к тому, что разрешенный легальный трафик может содержать в себе потенциальную угрозу использования злоумышленником различных инструментов, а также работу с небезопасными ресурсами.

Используемые инструменты для анализа трафика:

  • Контроль приложений (Application Control);
  • Системы обнаружения и предотвращения вторжений (IDS/IPS);
  • SSL-инспекция;
  • Web-фильтрация (URL filtering).

На данный момент указанный выше функционал реализован в межсетевых экранах нового поколения (NGFW), корректная настройка которого необходима для полноценной системы защиты.
«В этом плане анализ трафика можно сравнить с прохождением контроля пассажиров в аэропорту, где помимо идентификации личности идет детальная проверка на наличие у пассажира запрещенных к проносу на борт воздушного судна предметов», — подметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Принцип №4: отказоустойчивость
Для выстраивания эффективной сетевой безопасности инфраструктуры необходимо обеспечить отказоустойчивость критичных сетевых узлов, например, ядра или периметровых межсетевых экранов.

Отказоустойчивость достигается за счет:

  • Кластерных решений;
  • Разработки процедур резервного копирования данных и восстановления работоспособности сетевой инфраструктуры в приемлемые сроки;
  • Применения резервных каналов связи и динамических протоколов маршрутизации трафика (OSPF, BGP и др).
Принцип №5: управление изменениями
Со временем в любой системе происходит «конфигурационный дрейф»: настройки правил фильтрации и анализа трафика подвергаются изменениям и устаревают. Отсутствие контроля за данным процессом ведет к деградации отдельных функций и механизмов защиты, вплоть до полного их отсутствия. Чтобы этого избежать необходимо внедрить формализованный процесс управления изменениями в сетевой инфраструктуре.
«В компании должны быть описаны и выстроены процессы рассмотрения, согласования, проведения и фиксация всех изменений, проводимых в сетевой инфраструктуре. В этом случае динамически развивающаяся система будет сохранять свои показатели по защищенности, что существенно снизит возможности атакующих на всем промежутке времени функционирования системы», — уточнил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Создание сложно преодолеваемой системы защиты ИТ-инфраструктуры не просто набор технических решений, а продуманная, комплексная система, основанная на обязательных принципах и непрерывном контроле. Полагаться только на периметровую защиту или формальное выполнение требований недостаточно: современные злоумышленники постоянно развивают методы и техники атак, а источник угрозы может находиться как за пределами организации, так и внутри нее. Реализация таких базовых принципов, как сегментирование, правила доступа, анализ трафика, отказоустойчивость и управление изменениями, позволяет построить гибкую и устойчивую систему безопасности. Она не только снижает риск компрометации, но и обеспечивает оперативное обнаружение, реагирование и восстановление после инцидентов.
2026-01-30 10:00 Статьи