15 Апреля 2026 12:35 | 15 Апр 2026 12:35 | |

Поделиться

Почему управление виртуальными сетями – это механизм кибербезопасности

Михаил Фучко

технический менеджер SDN в Orion soft

94% внутренних пентестов российского бизнеса сегодня завершаются полным захватом корпоративного ИТ-контура, говорит исследование ИБ-компании «Бастион». Пока заказчики распределяют бюджеты в пользу средств защиты периметра безопасности, изнутри инфраструктура остается недостаточно защищенной. При этом за последние годы на рынке получили широкий резонанс кейсы критического ущерба, который хакеры нанесли, закрепившись во внутреннем периметре компании и оставаясь там незамеченными долгое время.

Защиту изнутри обеспечивают встроенные возможности инфраструктурного ПО. Одна из них — функциональность управления программно-определяемыми сетями (SDN). Ее внедряют, чтобы перенести управление сетевыми компонентами виртуальных машин в контур виртуализации, сформировать единую точку менеджмента всей серверной инфраструктуры на крупных инсталляциях с разнородным оборудованием. Михаил Фучко, технический менеджер SDN в Orion soft, объясняет, почему это важно не только для оптимизации затрат, но и для кибербезопасности и как использование SDN поможет защитить бизнес от потенциального ущерба.

Единый стандарт распределения доступов

Стоит злоумышленнику получить доступ к одной виртуальной машине, и у него появляется возможность распространить атаку на всю сеть. Это реальная угроза для отечественных компаний. В гипервизоре VMware ESXi существует уязвимость «нулевого дня» CVE-2025-22225, которая позволяет злоумышленнику «сбежать из песочницы», записать произвольный код в область ядра и захватить контроль над всем хостом, и ее невозможно исправить в России. Для эксплуатации уязвимости хакеру достаточно административного доступа внутри одной виртуальной машины.

В SDN есть функциональность, которая позволяет остановить движение атаки, даже если произошла частичная компрометация инфраструктуры. Это микросегментация — технология, которая позволяет разделить сеть на множество атомизированных сегментов. Изначально в каждом из них «нулевые» права доступа. Администратор может из сервера управления тонко настроить их: назначить, по каким портам, протоколам, из каких сетей будет доступ к каждой конкретной виртуальной машине или их группе.

Так формируется единый стандарт управления правами доступа к инфраструктуре, который необходим организациям с множеством филиалов, юрлиц и ИТ-сред. Например, именно наличие микросегментации было обязательным условием внедрения виртуализации zVirt в одной из крупнейших нефтегазовых компаний. Задачи SDN в ней выполнял продукт VMware NSX, и российское решение должно было закрывать его базовую функциональность. После тестирования заказчик посчитал решение Orion soft соответствующим основным критериям внедрения, но бизнес-процессы были завязаны на более зрелую реализацию микросегментации. Появилась необходимость доработать несколько важных функций. Среди них были расширенные возможности по журналированию операций срабатывания правил микросегментации, инструмент отладки правил в онлайн-режиме на эксплуатируемой виртуальной машине, оптимизация работы с API. После этих доработок zVirt достигла необходимого уровня готовности к интеграции с внутренними системами автоматизации компании, и микросегментация от Orion soft была рекомендована к внедрению на всех площадках заказчика.

Полная видимость сетевого трафика

Злоумышленники делают все, чтобы проникновение осталось незамеченным, а затем развивают атаку с помощью горизонтального перемещения по сети. Оно не всегда видно в логах, тем более что хакеры уже научились их «чистить». Обнаружить подозрительные действия внутри инфраструктуры помогает механизм зеркалирования трафика в SDN. Он позволяет записывать полные копии сетевых пакетов, которые передаются между серверами, в том числе введенные команды. Анализируя записи, можно оперативно выявить создание несанкционированных связей, если злоумышленник, например, с помощью фишинга получает доступ к серверу с офисными системами и пытается «перепрыгнуть» с него на сервер с базами персональных данных.

Зеркалирование в традиционной сетевой архитектуре, без SDN, включает в себя дополнительную настройку телекоммуникационного оборудования. Это приводит к появлению «копии» трафика, которая идет по сети предприятия к системе анализа. Зеркалирование средствами SDN позволяет гибко пересылать данные в пределах в том числе одного сервера виртуализации, без дополнительных «служебных» потоков трафика, не имеющих бизнес-значения.

Механизм зеркалирования трафика приносит дополнительную ценность вместе с ИБ-инструментами. Например, zVirt интегрирована с системой поведенческого анализа сетевого трафика PT NAD разработки Positive Technologies. Связка решений позволяет анализировать горизонтальные сетевые потоки, просматривая даже взаимодействия между виртуальными машинами в рамках одного гипервизора, что закрывает требования ФСТЭК для КИИ.

Прозрачность операций за счет автоматизации

В крупных инфраструктурах за годы работы накапливается парк сетевого оборудования от разных производителей. SDN позволяет унифицировать и упростить управление им. Вместо того, чтобы вводить команды на консоли каждого маршрутизатора и коммутатора, администраторы могут менять конфигурацию, выдавать и отзывать доступы, масштабировать сеть и проводить другие массовые операции централизованно.

Переход к автоматизации ускоряет управление сетью, снижает значимость человеческого фактора, а значит, и риск ошибок — в том числе в настройке политик безопасности. «Единое окно» позволяет создавать сетевые объекты сразу с защищенным контуром, чтобы ни одна виртуальная машина не осталась уязвимой.

Сегодня полноценная защищенность компаний выстраивается комплексно. ИБ-решения защищают от потенциального проникновения, помогают искать уязвимости и реагировать на инциденты. Механизмы автоматизации, микросегментации и контроля трафика в SDN делают сеть просматриваемой и легко управляемой. Следующим шагом может стать внедрение дополнительного инфраструктурного ПО для контроля конфиденциальных данных, например, системы управления секретами. Так работает экосистемный подход к безопасности — синергия различных инструментов, которые создают для хакера препятствия на всех уровнях инфраструктуры.

Поделиться

Короткая ссылка