“Сегментация часто воспринимается как простая настройка виртуальных сетей. Однако реальная защита начинается там, где вместо подсетей на сотни узлов вы управляете доступом между каждым сервисом и контейнером. Это не архитектура сети, а архитектура безопасности”.
Что такое сегментация?
Сетевая сегментация — это стратегия защиты, основанная на разделении единой инфраструктуры на изолированные логические блоки. Суть не в физическом проводе, а в ограничении доступности. Результат — локальная изоляция инцидента и блокировка горизонтального перемещения атакующего внутри сети.
Основные методы разделения сети
VLAN (Virtual LAN)
Виртуальные локальные сети работают на втором уровне модели OSI. Они группируют порты коммутаторов по логике, а не по месту. Отдел финансов и подразделение разработки, даже если их рабочие станции стоят в одном ряду, могут находиться в разных VLAN и не видеть широковещательный трафик друг друга. VLAN — это базовая мера, но её недостаточно для тонкого контроля: в рамках одного сегмента машины часто имеют полный доступ друг к другу.
DMZ (Demilitarized Zone)
Демилитаризованная зона — классический пример сегментации по типу риска. Это буферный сегмент между доверенной внутренней сетью и ненадёжным интернетом. В DMZ выносят публичные сервисы: веб-прокси, почтовые шлюзы, точки входа VPN. Ключевой принцип — «защита в глубину»: даже при компрометации сервера в DMZ злоумышленник упирается в следующий межсетевой экран, защищающий внутреннюю сеть.
Intranet и Extranet
Эти термины описывают не технологии, а принципы организации доступа. Интранет — внутренняя сеть организации, доступная только сотрудникам. Экстранет — контролируемое расширение интранета для внешних групп: партнёров, подрядчиков, ключевых клиентов. Доступ в экстранет обычно реализуется через защищённые VPN-туннели и строгую аутентификацию.
Направления трафика: где строить защиту
Эффективная сегментация требует понимания потоков данных. Традиционно всю защиту строили на границе, но современные угрозы сместились внутрь.
| Направление | Описание | Типичные средства защиты | Современная проблема |
|---|---|---|---|
| Север-Юг (North-South) | Трафик, входящий в сеть извне или исходящий из неё (клиент ↔ сервер). | Периметральные межсетевые экраны (NGFW), IPS, шлюзы. | Хорошо контролируется, но является лишь точкой входа. |
| Восток-Запад (East-West) | Трафик между серверами и устройствами внутри дата-центра (сервер ↔ сервер). | Часто разрешён по умолчанию, контроль слабый. | Основной вектор для распространения после начального взлома. |
Управление широковещательным трафиком
Сегментация решает не только задачи безопасности, но и производительности. Широковещательный трафик (broadcast) предназначен всем устройствам в сегменте. Его избыток вызывает «штормы», способные парализовать сеть. Разделение на VLAN естественным образом ограничивает область его распространения.
Основные источники широковещательного шума:
| Источник | Протокол | Цель | Методы оптимизации |
|---|---|---|---|
| ARP-запросы | ARP | Определение MAC-адреса по IP | Статические ARP-записи, кэширование. |
| DHCP-запросы | DHCP | Получение IP-конфигурации | Увеличение времени аренды адреса. |
| Обнаружение служб | SSDP, mDNS | Поиск устройств (принтеры, медиасерверы) | Отключение неиспользуемых протоколов. |
| Мультикаст-трафик | Прикладные протоколы | Видеопотоки, групповые рассылки | Настройка IGMP Snooping на коммутаторах. |
Микросегментация и Zero Trust
Классическая сегментация часто останавливается на уровне подсетей /24 или VLAN. Внутри такого сегмента десятки или сотни узлов могут свободно общаться. Этот подход устарел.
Микросегментация переносит границу безопасности с границ подсети на уровень отдельных рабочих нагрузок (workload), виртуальных машин или даже контейнеров. Политики доступа определяются для каждой сущности индивидуально, на основе её идентификатора, меток (labels) или контекста.
Это техническая реализация принципа Zero Trust («Никому не доверяй»). Модель исходит из того, что угроза может быть уже внутри сети. Каждый запрос на доступ проверяется, вне зависимости от его источника. Серверу в «доверенной» подсети нельзя автоматически доверять доступ к базе данных. Ему будет разрешено только то, что явно прописано в политике.
Для внедрения микросегментации используются не только традиционные сетевые экраны, но и хост-агенты, гипервизорные решения, решения на основе контейнерных оркестраторов (например, NetworkPolicy в Kubernetes) и специализированные платформы для защиты периметра рабочей нагрузки (CWPP).