ERO
RU
OLU
ION
EGMEN
ERO
RU
OLU
ION
EGMEN
ERO
RU
OLU
ION
EGMEN
ERO
RU
OLU
ION
EGMEN
ERO
RU
OLU
ION
EGMEN
Ограничения традиционной модели
сетевой защиты
сетевой защиты
Перегруженный периметр
Классическая модель защиты опирается на периметральные NGFW через которые проходит не только внешний, но и значительная часть внутреннего трафика.
С ростом east-west взаимодействий нагрузка на «железные» FW увеличивается, усложняя масштабирование и повышая стоимость владения
С ростом east-west взаимодействий нагрузка на «железные» FW увеличивается, усложняя масштабирование и повышая стоимость владения
Гибридная и распределённая инфраструктура
Современные среды включают
on-premise, облака, виртуальные фермы, контейнерные платформы. Централизованный контроль только на уровне периметра становится архитектурно недостаточным
on-premise, облака, виртуальные фермы, контейнерные платформы. Централизованный контроль только на уровне периметра становится архитектурно недостаточным
Отсутствие микросегментации внутри серверного сегмента
Внутренние серверы часто находятся в доверенном сегменте и имеют избыточные сетевые доступы другк другу. При компрометации одного узла возможное горизонтальное перемещение (lateral movement)
не блокируется на уровне хоста
не блокируется на уровне хоста
Эти ограничения требуют переноса части сетевого контроля непосредственно на уровень рабочих нагрузок с централизованной оркестрацией политик
Возможные интеграции в roadmap
NGFW (PALO ALTO, USERGATE ETC.)
SIEM (MAXPATROL, RU SIEM ETC.)
SDN (OPENSDN, CALICO ETC.)
МОДУЛИ КОНТРОЛЯ ДОСТУПА
К СЕТИ (NAC)
К СЕТИ (NAC)
EDR (KASPERSKY EDR ETC.)
СЕТЕВЫЕ УСТРОЙСТВА
(CISCO, MIKROTIK, B4COM, ETC.)
(CISCO, MIKROTIK, B4COM, ETC.)
Сверхлёгкий агент
Agent SEGMENT устанавливается непосредственно на хост и выполняет контроль сетевых политик на уровне ядра, не создавая значительной нагрузки на систему
Работает на eBPF, оптимизирован под работу с сетевыми политиками
Модульный, может отключать часть функций для улучшения утилизации
Поддерживает отечественные операционные системы
Мониторинг и observability
в реальном времени
Внедрена единая панель мониторинга на базе Grafana для контроля состояния всех компонентов системы: детальные логи, метрики нагрузки (CPU, RAM, сеть, диск), как агентов, так и серверной части
Подход SEGMENT
SEGMENT реализует модель security-by-design, в которой контроль сетевых взаимодействий осуществляется непосредственно на уровне рабочей нагрузки с централизованной оркестрацией политик
Микросегментация
на основе
Zero Trust
Segment изолирует рабочие нагрузки на уровне хоста, чтобы остановить горизонтальное перемещение атак
Единая панель управления и простота эксплуатации
Управление политиками firewall на тысячах серверов из одного централизованного интерфейса
AI-ассистент для генерации и оптимизации политик безопасности
Ролевая модель и гибкое разграничение прав доступа
Бесшовное переключение между режимами мониторинга и активной блокировки
НаМ
ДОВЕРяЮТ
В промышленности
В медицине
В страховании
В финтехе
