Импортозамещение NAC-систем: как выбрать российское решение и не прогадать?

С 2022 года перед многими компаниями встала непростая задача: как перейти на отечественные решения в области информационной безопасности, не потеряв в качестве и функционале? Одним из таких классов решений стали NAC-системы (Network Access Control), которые контролируют доступ к корпоративным сетям и обеспечивают их защиту. Вопрос, как найти российский аналог, не уступающий зарубежным решениям, остается актуальным. Давайте разберемся, как не ошибиться с выбором.

Зачем нужны NAC-системы?

По сути, NAC-система — это "фильтр" между вашей корпоративной сетью и всеми внешними устройствами, которые пытаются к ней подключиться. Эти системы помогают понять, кто и что подключается к сети: пользователи и устройства, которые могут быть потенциальной угрозой, или, наоборот, абсолютно безопасные. То есть, это одна из основ безопасности сети.

Однако NAC-системы — это не просто «дополнительная фича» для отдела информационной безопасности. Это защитник от несанкционированного доступа и мощный инструмент для соблюдения всех внутренних политик безопасности. Когда устройство пытается подключиться, NAC-система проверяет его по ряду критериев: подтверждено ли его право доступа, соответствует ли оно заданным требованиям, проверено ли на наличие угроз. Всё, что не соответствует, отсекается на входе. Это значительно снижает риски утечек или проникновений.

NAC-системы популярны среди организаций enterprise-сегмента, так как они помогают снизить вероятность того, что посторонние получат доступ к конфиденциальным данным. Они делают процесс управления доступом более прозрачным и контролируемым.

В отличие от смежных решений, таких как PAM, IDM или DLP, NAC-система решает более широкий спектр задач. Она контролирует не только доступ людей, но и мониторит рабочие станции, что позволяет проводить более глубокие расследования инцидентов. Информация о том, какие устройства подключаются к сети, а также их характеристики (например, сертификаты на рабочих станциях, доменные имена и MAC-адреса), и проверка установленных на них приложений и средств защиты, позволяет ИБ-специалистам более точно оценить уровень риска и предотвратить потенциальные угрозы. Важен даже контекст подключения: например, если главный бухгалтер работает удаленно, но подключается из другой страны или ночью, это может быть сигналом для дополнительной проверки.

Что поменялось в российских NAC-системах?

С уходом зарубежных вендоров с российского рынка, российские компании столкнулись с необходимостью поиска альтернатив таким продуктам как Cisco ISE (Identity Services Engine) от Cisco, FortiNAC от Fortinet, Aruba ClearPass от HPE и других. Но российские производители проделали с 2022 года довольно большой путь в развитии своих средств защиты, и уже сейчас способны предложить достойную замену.

Например, Efros DO (Defence Operations) от компании Газинформсервис начинал с базовых функций контроля доступа и аутентификации устройств. Но уже к 2023 году система получила интеграцию с SIEM-системами и поддержку 802.1X для беспроводных сетей. В 2024 году вендор также внедрил поддержку Zero Trust Architecture (ZTA), что делает Efros DO одним из самых современных NAC-продуктов на российском рынке. Правда, ИБ-специалисты ждут функцию автоматизации политик безопасности, но это отличный вариант для организаций, которым требуется решение с поддержкой ZTA.

Другой вариант решения в области NAC - cвязка WNAM (Wireless Network Access Manager) от NETAMS  + «Сакура» от ИТ-Экспертиза, фокусировалась на управлении доступом для гостевых пользователей и BYOD (Bring Your Own Device). В 2023 году в «Сакура» добавили поддержку многофакторной аутентификации (MFA), а в 2024 году повысили производительность и интеграцию с российскими операционными системами, в частности, к Astra Linux. 

Как выбрать российскую NAC-систему?

Российские NAC-системы за последние годы значительно продвинулись вперёд, и теперь они уже могут вполне заменить зарубежные продукты. Однако важно убедиться, что выбранная система отвечает всем вашим требованиям, от аутентификации устройств до интеграции со сторонними системами, в частности, SIEM. Также стоит обратить внимание на то, как развивается сам продукт и какая у него "дорожная карта" — ведь многие системы продолжают совершенствоваться, и какие-то функции, которых вам может не хватать, вполне могут появиться в ближайшее время.

Давайте на реальном кейсе внедрения iTPROTECT рассмотрим концепцию развития российских NAC-систем. Представьте крупную рекламную компанию с разветвленной сетевой инфраструктурой, где используется более 1000 устройств сотрудников, 10 точек доступа WiFi и есть необходимость обеспечить в организации безопасность данных, контроль доступа и защиту от несанкционированных подключений. Звучит как посильная задача для «Сакуры» и WNAM на сегодняшний день. Однако, несколько лет назад, ввиду того, что некоторые функции еще не были реализованы, представить выполнение такого проекта только силами отечественной NAC-системы было трудно. Возвращаемся к самому кейсу, который был выполнен в 2024 году. На старте  мы предварительно  провели детальное обследование инфраструктуры заказчика. Это позволило команде понять, с чем предстоит работать, и подготовить всю необходимую документацию. Далее последовали само внедрение на конечных устройствах и необходимые настройки. Для того, чтобы NAC-система работала в инфраструктуре с максимальной эффективностью, была реализована ее интеграция с Active Directory для более гибкой настройки политик доступа и с SIEM-системой для мониторинга и реагирования на инциденты, что в совокупности позволило обеспечить необходимый уровень контроля и безопасности для организации. Однако, в процессе внедрения мы столкнулись с небольшими трудностями при интеграции «Сакуры» с клиентом OpenVPN. Повторные настройки проводились в несколько итераций, устранялись баги,  благодаря оперативной поддержке вендора и слаженной работе нашей команды, все проблемы были решены в течение нескольких недель. По завершении проекта заказчик получил контроль над необходимым количеством конечных устройств с помощью агентов «Сакуры», управляет доступом к внутренней сети через точки доступа WiFi с помощью WNAM, обеспечивает авторизацию, аутентификацию и учет всех подключаемых пользователей, а также контролирует доступ администраторов к сетевому оборудованию.

Единственное, российские NAC-системы пока немного уступают зарубежным по глубине функциональности и гибкости настроек. Также стоит учитывать, что для более сложных вариантов инфраструктуры могут потребоваться дополнительные настройки и интеграции. Это связано с тем, что зарубежные продукты, такие как Cisco ISE, уже давно и активно используются в тысячах организаций, а российские решения еще только начинают набирать опыт.

То есть, при выборе NAC-системы важно учитывать не только текущие потребности компании, но и особенности отрасли и инфраструктуры. В условиях санкций российские решения стали не просто вынужденным выбором. Интеграция с отечественными операционными системами и другими локальными продуктами позволяет российским NAC-системам стать надежной заменой зарубежным аналогам. Главное — не торопиться, тщательно проанализировать все варианты и выбрать то решение, которое наилучшим образом будет соответствовать вашим требованиям.