Эльман Бейбутов, UserGate: Самый простой способ внедрения совершенно не связан с созданием архитектуры доверия в сети
Концепция доверенной сетевой среды превращается в один из основополагающих факторов стабильности IT-инфраструктуры в больших организациях. В первую очередь, это касается подходов к формированию защищённого пространства, где персонал и бизнес-приложения могут функционировать, будучи уверенными в его надёжности. О том, как создаётся подобная архитектура, какую функцию в этом процессе выполняет поставщик решений и какие оплошности наиболее характерны для крупных клиентов, — в беседе с Эльманом Бейбутовым, руководителем по бизнес-развитию UserGate.
CNews: Как бы вы кратко охарактеризовали сетевое доверие? Что в итоге должен получить заказчик?
Эльман Бейбутов:Наша деятельность сосредоточена на обеспечении сетевой безопасности, и весь спектр наших технологий и решений нацелен на то, чтобы клиенты, применяющие их в своей инфраструктуре, обрели это доверие. Когда оно присутствует, сотрудники компаний-заказчиков, взаимодействуя с бизнес-приложениями и внутренними системами, осознают, что находятся в защищённой зоне. Это область безопасности, где угрозы, свойственные инфраструктуре — как извне, так и изнутри, — оперативно обнаруживаются, нейтрализуются и устраняются нашим комплексом технологий.
Помимо самого технологического стека, сюда также входят правила обнаружения и сценарии реагирования систем на угрозы. По существу, продукт как набор функций не представляет ценности без той экспертизы, которую в него вкладывает наш центр uFactor. И третья ключевая составляющая — уверенность в бренде UserGate. Она формируется благодаря последовательной работе компании с профессиональным сообществом. В некотором смысле доверие к бренду основывается на том же принципе, что и доверие между людьми: мы склонны полагаться на тех, кто демонстрирует высокую квалификацию и открыт для обмена опытом.
CNews: По каким признакам можно отличить архитектора сетевого доверия от обычного поставщика межсетевых экранов нового поколения (NGFW)?
Эльман Бейбутов: В своей практике мы взаимодействуем с большими корпорациями и наблюдаем, что в их сетевой инфраструктуре нередко накапливаются просчеты, допущенные на этапе проектирования. Формирование доверенной сетевой среды подразумевает, в числе прочего, комплекс экспертных услуг, направленных на реорганизацию сети и повышение защищенности ее архитектуры. Это затрагивает пересмотр принципов сегментации, изменение точек завершения трафика, предотвращение несанкционированных операций и другие аспекты. UserGate позиционирует себя не просто как вендор, а как полноценный Архитектор, центральная точка экспертизы в построении доверия внутри сети.
Обычный же поставщик решений следующего поколения (NGFW) часто предлагает упрощенные подходы к обеспечению сетевой безопасности. Упрощенно полагая, что достаточно заменить одно аппаратное решение на другое. Безусловно, это наиболее короткий и оперативный путь с точки зрения развертывания продукта, однако он совершенно не связан с созданием архитектуры доверенной сети. В отличие от простого поставщика NGFW, Архитектор сетевого доверия способен оценить общую картину и определить, какие архитектурные изменения необходимы для повышения безопасности всей инфраструктуры, создания защищенных сегментов и надежной рабочей среды для сотрудников, способной противостоять современным угрозам как извне, так и изнутри.
CNews: По каким конкретным, измеримым показателям можно продемонстрировать рост доверия к сети после внедрения решений? Какие метрики вы считаете фундаментальными для крупного корпоративного сегмента?
Эльман Бейбутов: Мы обычно оцениваем это через анализ пользовательских сценариев и через принцип, согласно которому любые сетевые операции не должны ухудшать защищенность рабочего окружения. К примеру, в нашем продуктовом портфеле присутствует решение для защищенного удаленного доступа, которое позволяет анализировать уровень доверия к подключающимся устройствам и пользователям.
Когда в компании отсутствуют "слепые зоны", когда четко отслеживаются все способы подключения сотрудников к инфраструктуре, когда их рабочие станции проходят проверку на соответствие политикам безопасности и доступ предоставляется только соответствующим требованиям устройствам — это уже ключевой индикатор повышения уровня сетевого доверия.
Цель заключается в том, чтобы максимально сократить или полностью устранить возможность взаимодействия с корпоративными ресурсами по непроверенным и небезопасным сценариям. При этом, если сотрудники продолжают использовать бизнес-приложения, мы можем отслеживать, какое количество операций доступа обходит контрольные точки безопасности. Сокращение этого числа — одна из метрик, свидетельствующих о росте доверия к сетевой среде.
Подобный подход применим и к остальным группам пользователей. Речь может идти о подрядчиках, обслуживающих инфраструктурные компоненты, сотрудниках интеграционных компаний и техподдержки вендоров, а также о лицах из контролирующих инстанций. Ключевой момент — для любой подобной роли должно быть четко определено, к какой части сети и каким именно информационным ресурсам предоставлен доступ. В большой организации подобных случаев могут быть сотни. Каждый из них обязан проходить через систему решений и проверок безопасности, встроенную в технологическую платформу. Чем больше подобных случаев охвачено унифицированными защитными механизмами и чем меньше остается неподконтрольных способов доступа к активам, тем более обоснованно можно утверждать об укреплении доверия внутри сети.
CNews: Какие стандартные архитектурные просчеты вы чаще всего наблюдаете у крупных клиентов при переходе на решения уровня ядра и как они отражаются на бизнес-процессах?
Эльман Бейбутов: Подобные недочеты, как правило, коренятся в накопленной сложности сетевого окружения. В больших корпорациях изменения идут непрерывно: стартуют новые инициативы, внедряются системы, поглощаются другие бизнесы. Инфраструктура расширяется, и параллельно с этим копятся архитектурные противоречия.
Как следствие, на межсетевых экранах формируются сотни тысяч правил, разобраться в которых без должной документации и отлаженных процедур становится крайне сложно. Зачастую логика, по которой создавалось конкретное правило, хранится лишь в памяти инженеров. Когда специалист покидает компанию, эти сведения утрачиваются, а правила остаются в виде «архитектурного наследия». Подобная ИТ-архитектура со временем теряет эффективность, а за неэффективностью ИТ всегда следуют уязвимости в защите.
Дополнительные угрозы появляются из-за поспешности при запуске новых систем, когда не выполняется полноценное ужесточение настроек безопасности инфраструктуры. В итоге возникают ошибочные конфигурации, открывающие достаточно тривиальные пути для атак. Особенно стремительно развиваются атаки с применением шифровальщиков, если сеть плохо разделена на сегменты или из-за чрезмерного количества разрешающих правил между сегментами фактически отсутствуют барьеры. Именно совокупность всех указанных факторов и формирует почву для масштабных инцидентов.
CNews: Где проходит раздел ответственности: что именно должна обеспечить команда клиента, а что по-настоящему обязан взять на себя вендор в качестве архитектора?
Эльман Бейбутов:Для клиента ключевым является взгляд на проекты внедрения новых решений как на повод для реорганизации всей текущей архитектуры. Это шанс пересмотреть принципы построения и будущего функционирования сети. Значительная часть ответственности заказчика связана с трансформацией внутренних процедур: пересмотром методов управления сетью, обновлением схем сегментации и конфигураций оборудования, которое эту сегментацию обеспечивает. Критически важна открытость команды клиента к советам архитектора, поскольку именно на этих рекомендациях основывается модель доверенной сети.
В нашей модели роль вендора не сводится исключительно к поставке оборудования. Обычно в проекте также задействован бизнес-партнер, имеющий экспертизу в области сетевой безопасности. Архитектор со стороны вендора формирует общую методологическую основу — предлагает архитектурный план, согласно которому может быть преобразована сеть.
Далее возможны различные сценарии реализации. Клиент может самостоятельно воплотить эти рекомендации, либо эту задачу выполняет партнер в рамках проекта. В любом случае, после завершения внедрения, обязанность заказчика — поддерживать установленные процессы и не допускать отката к прежнему состоянию спустя годы. Необходимо сохранить тот уровень порядка в сетевой инфраструктуре, который был задуман архитектором и воплощен партнером.
CNews: Какой должна быть корректная целевая архитектура доверия для географически распределенной компании? Какие основные принципы вы бы обозначили, абстрагируясь от конкретных решений?
Эльман Бейбутов:У географически распределенных компаний, как правило, имеется несколько ЦОДов и разветвленная сеть филиалов. В таких условиях crucial грамотное и динамическое распределение нагрузки, зависящее от запросов пользователей и трафика сервисов и приложений. Следовательно, изначально необходимо корректно размещать цифровые активы с учетом пропускной способности каналов связи, обеспечивать балансировку нагрузки и корректное перераспределение трафика между центрами обработки данных. Еще один существенный архитектурный элемент — применение технологий централизованного управления межсетевыми экранами вместе с внедрением подходов SD-WAN.
Однако фундаментальный принцип состоит в том, что меры безопасности должны внедряться на уровне всей организации, а не фрагментарно. Невозможно выстроить полноценную защиту лишь для одного филиала или одного дата-центра, оставив остальные сегменты инфраструктуры без контроля. Злоумышленники, как правило, ищут наиболее уязвимое место. Поэтому для распределенной компании необходимо планировать внедрение так, чтобы все технологии и подходы, предлагаемые архитектором в рамках выбранной методологии, были развернуты в обозримые сроки по всей инфраструктуре. После этого они должны быть переданы в эксплуатацию вместе с процессами, позволяющими поддерживать сеть в доверенном состоянии.
CNews: Какие архитектурные решения и компромиссы чаще всего становятся предметом дискуссий — например, производительность против управляемости, открытость против изоляции, простота против защищенности — и каков ваш подход к их разрешению?
Эльман Бейбутов:В реальности выбор определяется конкретной задачей. Скажем, современные межсетевые экраны могут использоваться для внутреннего разделения сети, для настройки защищенных удаленных подключений или для контроля трафика на границе с общедоступными сетями, такими как интернет. Существуют и конфигурации, основной целью которых является обеспечение надежного соединения между центрами обработки данных.
Таким образом, архитектура, основанная на доверии, проектируется в зависимости от поставленных целей. В ЦОДах, к примеру, ключевыми приоритетами являются быстродействие и бесперебойная работа. Поскольку там в основном взаимодействуют системы, требования к пропускной способности гораздо строже, а число проверок безопасности может быть сокращено. В подобных случаях баланс закономерно смещается в сторону эффективности.
Однако когда речь идет о доступе персонала к корпоративным приложениям, требования к средствам защиты существенно возрастают. Здесь на первый план выходят строгая аутентификация, разграничение прав и безопасность работы с цифровыми ресурсами в течение сеанса. При этом высокая скорость отклика для отдельного сотрудника обычно не является критичным фактором.
Другими словами, все сводится к грамотному подбору архитектуры для каждого сегмента инфраструктуры. Если эти сценарии четко определены, необходимость идти на уступки, как правило, отпадает — все ключевые условия изначально закладываются в проект.
CNews: Как на практике формировать отношения доверия между службами информационной безопасности, IT и бизнес-подразделениями?
Эльман Бейбутов:Основой такого сотрудничества является четкое разграничение обязанностей каждого подразделения. Как правило, IT-департамент отвечает за быстродействие, доступность и стабильность систем. Служба ИБ, со своей стороны, обеспечивает контекст доверия — то, что доступ к критичным приложениям имеют только авторизованные пользователи, а инфраструктура защищена от потенциальных угроз извне и изнутри.
Бизнес доверяет и IT, и ИБ тогда, когда наблюдает устойчивую работу систем и сохранение киберустойчивости компании. На деле это означает, что уровень защиты не должен снижаться в процессе эксплуатации, а внедрение средств безопасности не должно создавать препятствий для сотрудников и рабочих процессов.
Таким образом, взаимное доверие между подразделениями выстраивается благодаря ясному разделению обязанностей и их неукоснительному выполнению. Для бизнеса мера доверия довольно проста: инфраструктура должна функционировать бесперебойно и не создавать препятствий для работы персонала. Если в периоды высокой нагрузки сотрудники сталкиваются с недоступностью ключевых сервисов или значительным падением скорости, это неминуемо подрывает веру в профессионализм специалистов по информационным технологиям и безопасности.
Во избежание подобных проблем необходимо детально прорабатывать модели использования бизнес-приложений и принимать их во внимание при развертывании защитных механизмов. Речь идет не о простой установке межсетевых экранов нового поколения или иных технологий как таковых, а о фокусе на конкретных рабочих процессах, где заранее определено, какие операции, в какое время, с какой интенсивностью и в каких программах выполняются, а также каким требованиям по защите и быстродействию они должны соответствовать.
CNews: Как добиться, чтобы заявления о доверии не воспринимались как формальность и не порождали иллюзию защищенности?
Эльман Бейбутов:Ключевую роль здесь играет взаимная проверка. Сегодня доступен широкий спектр методик и услуг, позволяющих постоянно отслеживать фактический уровень защищенности ИТ-среды. Это включает моделирование атакующих действий, оценку уязвимостей, а также привлечение сторонних аудиторов или экспертов, которые могут объективно проанализировать архитектуру и конфигурацию средств защиты. Помимо этого, существуют специальные решения и группы специалистов, помогающие анализировать тысячи правил в файрволах, находить неэффективные, дублирующиеся или устаревшие политики и настройки.
Уровень доверия, как правило, резко падает после серьезных происшествий. Однако в большинстве случаев такие инциденты являются результатом длительного отсутствия взаимного или независимого аудита, который мог бы своевременно выявить накопившиеся недочеты. Поэтому, чтобы дискуссия о доверии не сводилась к пустым словам, даже для отлаженных инфраструктур с устоявшимися процедурами полезно время от времени получать стороннюю оценку. Квалифицированный внешний специалист может либо подтвердить хорошее состояние системы, либо предложить меры, способствующие укреплению доверия в сетевой среде.
CNews: Что необходимо изменить в процессе эксплуатации после завершения проекта, чтобы доверие сохранилось и через полгода? Какие процедуры поддержки, обновления и мониторинга являются наиболее важными?
Эльман Бейбутов:Сфера киберугроз постоянно развивается: меняются методы атак, обнаруживаются новые уязвимости, возникают оригинальные сценарии компрометации. Следовательно, чтобы доверие не угасло спустя полгода после сдачи проекта исполнителем, сам клиент — самостоятельно, в сотрудничестве с партнером или с привлечением наших экспертных услуг — должен организовать соответствующие процессы для анализа рисков и внесения корректировок в архитектуру, обеспечивающую сетевое доверие.
Обсуждается подход к контролю изменений в ИТ-сфере и оценке рисков в контексте защиты данных. Ключевым моментом является то, что эти принципы должны реализовываться через корректировку параметров во всём технологическом комплексе, поддерживающем модель доверия в сетях. Следовательно, необходимо детально прописывать порядок модификаций в сетевой и инфраструктурной среде. Такие механизмы обеспечивают долгосрочную безопасность масштабных корпоративных систем, сохраняя уверенность со стороны бизнеса и персонала, функционирующего в защищённом цифровом пространстве.
Ежегодный форум UserGate Open Conf, запланированный на 25 марта 2026 года, полностью сосредоточится на принципах построения архитектуры сетевого доверия. Более детально ознакомиться с этой концепцией можно будет через онлайн-вещание мероприятия.
Для участия требуется регистрация.
■ Рекламаerid:2W5zFH3NmZjРекламодатель: ООО «Юзергейт»ИНН/ОГРН: ИНН 5408308256 / ОГРН 1145476050961Сайт: www.usergate.com/ru
