Как управление виртуальными сетями укрепляет киберзащиту
Михаил Фучко
технический руководитель направления SDN в Orion soft
Согласно исследованию компании «Бастион», в 94% случаев внутреннего тестирования на проникновение в российских компаниях злоумышленникам удаётся полностью захватить корпоративную ИТ-инфраструктуру. В то время как клиенты продолжают инвестировать в защиту внешнего периметра, внутренние системы остаются уязвимыми. За последние годы также участились инциденты с серьёзным ущербом, когда хакеры, проникнув внутрь сети, долгое время оставались незамеченными.
Внутреннюю защиту обеспечивают встроенные функции инфраструктурного программного обеспечения. К ним относится управление программно-конфигурируемыми сетями (SDN), которое позволяет перенести контроль над сетевыми компонентами виртуальных машин в среду виртуализации и создать централизованную систему управления всей серверной инфраструктурой в крупных развёртываниях с разнородным оборудованием. Михаил Фучко, технический руководитель направления SDN в Orion soft, рассказывает, почему это важно не только для снижения затрат, но и для обеспечения безопасности, а также как применение SDN помогает предотвратить потенциальный ущерб для бизнеса.
Унифицированный подход к распределению прав доступа
Если злоумышленник проникает на одну виртуальную машину, он может распространить атаку по всей сети. Это серьёзный риск для российских организаций. В гипервизоре VMware ESXi присутствует уязвимость нулевого дня CVE-2025-22225, позволяющая выйти из изолированной среды, внедрить произвольный код в ядро и получить полный контроль над хостом. Данная уязвимость не подлежит исправлению на территории России. Для её использования злоумышленнику достаточно обладать правами администратора внутри отдельной виртуальной машины.
Технологии программно-определяемых сетей (SDN) предоставляют возможность блокировать распространение атаки, даже если часть инфраструктуры уже скомпрометирована. Речь идёт о микросегментации — подходе, разделяющем сеть на множество изолированных сегментов. Изначально для каждого из них действует политика «запрещено всё». Администратор может централизованно, с сервера управления, детально настроить правила: определить, с каких сетей, по каким протоколам и портам разрешён доступ к конкретной виртуальной машине или их группе.
Таким образом формируется единый стандарт управления доступом к инфраструктуре, что критически важно для крупных организаций с разветвлённой сетью филиалов, юридических лиц и ИТ-сред. Например, наличие функционала микросегментации стало обязательным требованием при внедрении платформы виртуализации zVirt в одной из ведущих нефтегазовых корпораций. Роль SDN-решения там выполнял продукт VMware NSX, и российский аналог должен был обеспечить аналогичный базовый функционал. После проведения испытаний заказчик признал решение Orion soft соответствующим ключевым критериям, однако существующие бизнес-процессы были ориентированы на более развитую реализацию микросегментации. Возникла потребность в доработке ряда важных возможностей. Среди них — расширенное ведение журналов срабатывания правил микросегментации, инструмент для отладки этих правил в реальном времени на работающей виртуальной машине, а также оптимизация работы с API. После выполнения этих улучшений zVirt достигла требуемого уровня зрелости для интеграции с внутренними системами автоматизации компании, и микросегментация от Orion soft была одобрена для развёртывания на всех площадках заказчика.
Полная прозрачность сетевого трафика
Злоумышленники стремятся скрыть факт несанкционированного доступа, чтобы затем, перемещаясь внутри сети, расширять масштабы атаки. Подобная активность часто остается незаметной в журналах событий, особенно если злоумышленники предпринимают шаги по их очистке. Выявить подозрительные действия в инфраструктуре помогает технология зеркалирования трафика в SDN. Она дает возможность сохранять полные копии сетевых пакетов, которыми обмениваются серверы, включая выполняемые команды. Анализ этих данных позволяет быстро обнаружить попытки установить несанкционированные соединения — например, когда злоумышленник, получив доступ к серверу с офисными приложениями через фишинг, пытается переместиться с него на сервер, содержащий базы персональных данных.
В классических сетевых архитектурах без SDN организация зеркалирования требует дополнительной настройки телекоммуникационного оборудования. Это приводит к созданию «копии» трафика, которая передается по корпоративной сети к системе анализа. Использование SDN для зеркалирования обеспечивает гибкую перенаправление данных, в том числе в пределах одного сервера виртуализации, без формирования лишних служебных потоков, не несущих полезной нагрузки.
Механизм зеркалирования трафика раскрывает свой потенциал в сочетании со средствами информационной безопасности. К примеру, платформа zVirt интегрирована с системой поведенческого анализа сетевого трафика PT NAD от Positive Technologies. Совместное использование этих решений позволяет анализировать горизонтальные сетевые потоки, в том числе отслеживать взаимодействия между виртуальными машинами в рамках одного гипервизора, что соответствует требованиям ФСТЭК для объектов КИИ.
Автоматизация для обеспечения прозрачности операций
В крупных инфраструктурах за долгие годы эксплуатации формируется разнородный парк сетевого оборудования от множества вендоров. SDN позволяет унифицировать и упростить управление им. Вместо ручного ввода команд на каждом маршрутизаторе и коммутаторе администраторы могут централизованно менять конфигурации, предоставлять и отзывать права доступа, масштабировать сеть и выполнять другие массовые операции.
Автоматизация процессов ускоряет управление сетью, минимизирует влияние человеческого фактора и, как следствие, снижает риск ошибок — включая ошибки в настройке политик безопасности. Единая точка управления позволяет создавать сетевые объекты сразу с защищенным периметром, чтобы ни одна виртуальная машина не осталась без необходимой защиты.
В современных условиях комплексная защищенность компаний выстраивается за счет сочетания различных мер. Решения ИБ предотвращают потенциальные проникновения, помогают обнаруживать уязвимости и оперативно реагировать на инциденты. Автоматизация, микросегментация и контроль трафика в SDN обеспечивают прозрачность и удобство управления сетью. Следующим шагом может стать внедрение дополнительного инфраструктурного программного обеспечения для защиты конфиденциальных данных, например, систем управления секретами. Так реализуется экосистемный подход к безопасности — синергия различных инструментов, которые создают для злоумышленника непреодолимые барьеры на всех уровнях инфраструктуры.
■ Материал подготовлен при поддержкеerid:2W5zFHT5EqFЗаказчик: ООО "Орион"ИНН/ОГРН: 9704113582/1227700018996Официальный сайт: https://www.orionsoft.ru/
