19 Мая 2026 14:01 | 19 Мая 2026 14:01 | |

Поделиться

Межсетевой экран UserGate в основе доверенной ИТ-инфраструктуры: как это работает?

Эльман Бейбутов

директор по развитию бизнеса UserGate

Прошедшая в мае конференция ЦИПР-2026 стала ключевой площадкой для обсуждения фундаментального сдвига в российском ИТ: информационная система сегодня — это не только софт и железо, но прежде всего люди, которые с ним взаимодействуют. Эту мысль озвучил в своем выступлении директор по развитию бизнеса UserGate Эльман Бейбутов в рамках сессии «Своя крепость. Как выстроить доверенную ИТ-инфраструктуру организации». Он также подчеркнул, что именно люди потенциально выступают главными нарушителями безопасности. Противодействовать этому помогает технология UserGate NGFW.

Кризис IP-центричного подхода

Традиционная сетевая безопасность десятилетиями опиралась на защиту периметра и анализ IP-адресов. Однако в 2026 году корпоративная сеть представляет собой предельно динамичную среду. Сотрудники работают с разных устройств, используют офисный Wi-Fi, подключаются через VPN из дома или из кафе, а IP-адреса внутри сети постоянно переназначаются через DHCP. В таких условиях политики, основанные только на IP, теряют всякую эффективность. Причин тому несколько:

• Слепые зоны и потеря контекста: если в логах зафиксирована подозрительная активность с определенного адреса, администратор без дополнительных инструментов не понимает, кто за ним стоит — бухгалтер, системный инженер, стажер или злоумышленник, перехвативший сессию.
• Сложность и рутина администрирования: привязка прав к динамическим адресам заставляет ИТ-службу плодить тысячи мелких правил, которые мгновенно теряют актуальность. Невозможно точно контролировать доступ к критическим ресурсам, когда объект защиты постоянно перемещается.
• Риски безопасности: традиционные правила не позволяют реализовать гранулярный доступ на основе бизнес-необходимости. Невозможно понять, имеет ли данный конкретный пакет легитимное обоснование для доступа к базе данных.

Иначе говоря, суть проблемы в том, что IP-адреса постоянно меняются, и попытка строить на них защиту — это борьба со следствием, а не с причиной. Зато ее успешно устраняет технология TrustID. Она сопоставляет сетевой трафик с конкретными учетными записями, позволяя строить политики так, что становится видно, кто именно совершает те или иные действия.

Механизмы идентификации и методы сбора данных

Внедрение технологии UserID обеспечивает бизнесу преимущества, выходящие далеко за рамки классической сетевой безопасности. Прежде всего она позволяет реализовать ролевую модель доступа, при которой права в информационной системе распределяются на основе реальных должностных обязанностей сотрудников, а не их технического положения в сети. В такой архитектуре доступ к критически важным приложениям и базам данных предоставляется исключительно авторизованным лицам с обоснованной бизнес-потребностью. Например, доступ к финансовому контуру или системам кадрового учета открывается только для целевых групп сотрудников, в то время как для остальных отделов эти ресурсы остаются полностью невидимыми и недоступными.

Помимо усиления защиты, использование UserID значительно снижает операционную нагрузку на профильные службы за счет глубокой автоматизации рутинных процессов. Традиционные методы администрирования требовали ручного обновления списков доступа при каждом кадровом изменении, однако теперь политики безопасности синхронизируются с корпоративными каталогами в реальном времени. Если специалист переводится в другое подразделение, его права доступа на межсетевом экране обновляются автоматически сразу после внесения изменений в Active Directory или ALD Pro. Это позволяет администраторам формулировать правила на языке бизнес-логики, оперируя категориями отделов и должностей вместо управления громоздкими списками динамических IP-адресов.

Одним из результатов также становится качественное улучшение видимости ИТ-инфраструктуры и упрощение расследования инцидентов. UserID обогащает каждый лог и отчет контекстными данными, заменяя безликие цифры адресов конкретными именами сотрудников. Для руководителей ИБ это означает полную прозрачность операций. В случае возникновения нештатной ситуации время на восстановление картины событий сокращается в разы, так как система мгновенно идентифицирует инициатора любого сетевого действия.

Архитектура надежности и путь к TrustID

Идентификация десятков тысяч пользователей в реальном времени требует колоссальной производительности и отказоустойчивости. Архитектура UserGate спроектирована с учетом этих требований:

• Производительность: система поддерживает до 10 000 запросов в секунду на один узел NGFW без деградации скорости фильтрации трафика.
• Отказоустойчивость: поддержка stateless-кластеризации, контроль доставки сообщений из очереди и оптимизированный кэш гарантируют, что данные о пользователях всегда будут актуальны на всех узлах защиты.
• Масштабируемость: возможность централизованного сбора данных через Log Analyzer и распределения на несколько фаерволов позволяет защищать крупнейшие территориально распределенные организации.

При этом UserGate не останавливается на достигнутом и движется от UserID к концепции TrustID — доверенной идентификации. Будущее технологий UserGate связано с внедрением полноценного AAA-сервера для сетевых фабрик, поддержкой 802.1x и созданием сквозной сегментации (end-to-end) на базе меток безопасности.

В будущем благодаря TrustID UserGate NGFW может учитывать не только учетные данные пользователя, но и состояние его устройства, а также точку входа. Контроль осуществляется максимально близко к хосту за счет интеграции с RADIUS, Security Group Tag и Network Admission Control (NAC). Это позволяет реализовать сценарии динамического доверия.

К примеру, если сотрудник пытается подключиться к финансовой системе через корпоративный Wi-Fi, система может заблокировать доступ или ограничить его, даже если у пользователя верные логин и пароль. Технология «понимает», что критические операции должны выполняться только с определенных Ethernet-коммутаторов или доверенных рабочих станций.

Такой подход обеспечивает детализацию защиты, которая недоступна классическим фаерволам. Групповой маппинг (Group Mapping) позволяет сопоставлять разные идентификаторы безопасности (SID) к одному профилю пользователя (User Entity), создавая единую картину активности во всей сети.

Внедрение прозрачной идентификации пользователей — это смена парадигмы и переход от защиты периметра к защите данных на основе ролей и ответственности. При выборе NGFW сегодня недостаточно оценивать только набор сигнатур или пропускную способность. Именно зрелость механизмов идентификации превращает железо» в интеллектуальный инструмент защиты. TrustID в UserGate NGFW — это готовое, глубоко интегрированное решение, позволяющее построить «свою крепость» на фундаменте осознанного доверия.

Поделиться

Короткая ссылка