Типичные ошибки при внедрении сегментации сети
У большинства корпоративных сетей сегментация находится в планах. Многие держат её там годами. Опрос 400 американских специалистов по сетевой безопасности, переживших неудачные проекты по сегментации, показывает, что провалы группируются в четыре чётких паттерна. Тип неудачи, с которой сталкивается команда, сильно зависит от типа среды и выбранного подхода.
Исследование, проведённое в начале 2026 года, применило латентно-классовый анализ к ответам респондентов, измеряя как общие факторы провала ИТ-проектов, так и специфические технические барьеры сегментации.
Четыре архетипа провала
Половина респондентов (50.2%) попала в категорию, которую исследование называет Идеальный Шторм. В этих проектах общие проблемы управления ИТ-проектами и специфические технические сложности сегментации возникали одновременно по всем фронтам. Цели были неясны, поддержка руководства слаба, объём работ расползался, сроки нереалистичны, а сама среда была сложной, плохо изученной и трудно сегментируемой без сбоев в производственных системах. Каждый фактор вносил свой вклад.
Вторая по величине группа (33.5%) обозначена как Рассеянное Трение. Эти проекты не рухнули из-за единственной причины. Ясность целей и поддержка руководства были несколько лучше, чем в Идеальном Шторме, но умеренное трение накапливалось по множеству направлений, как организационных, так и технических, пока проект не забуксовал. Примерно две трети респондентов в этой группе в среднем оценили технические факторы выше факторов управления проектами. Оставшиеся два архетипа меньше и имеют более специфичные признаки провала.
Операционное Бремя (8.5% респондентов) описывает проекты, где поддержка руководства и определение целей были адекватными. Руководство было в курсе, и проект имел мандат. Его погубила постоянная операционная нагрузка по созданию и поддержке правил сегментации, усугублённая нежеланием активно применять сегменты из-за рисков сбоев приложений. Почти никто в этой группе не винил слабое руководство или неясные цели. Большинство указывало на чрезмерную ручную работу с политиками и риск простоев.
Ловушка Объёма и Видимости (7.8%) — самый технически специфичный архетип. Каждый респондент в этой группе подтвердил расползание объёма работ. Почти все сообщили о недостаточной видимости активов. Среда была сложной, сроки нереалистичными, а команды не хотели рисковать сбоями в производственных системах.
Что окружение говорит о вероятном типе неудачи
Архетипы распределены не случайно по типам проектов. Кампусные сети и макросегментация уровня 2 с использованием VLAN и VXLAN статистически связаны с более тяжёлыми архетипами. Проекты, включающие кампусные сети, значительно чаще попадали в категории "Идеальный шторм" или "Ловушка границ и видимости". Проекты, использовавшие макросегментацию уровня 2, были непропорционально представлены в "Ловушке границ и видимости" — архетипе, где недостаточная видимость активов была отмечена почти повсеместно. Эта связь логична: проектирование зон на уровне 2 сильно зависит от знания о том, какие активы существуют и где они находятся.
Тип рабочей нагрузки не показал значимой связи ни с одним архетипом. Независимо от того, работала ли среда на "голом железе", виртуализации, контейнерах или бессерверных вычислениях, модель неудачи оставалась неизменной. Значение имеют переменные, описывающие подход и границы сети, а не то, чем являются рабочие нагрузки.
Разрыв между диагнозом и лечением
Самое важное открытие не связано с самими архетипами. Когда респондентов спросили, какое одно изменение они бы внесли, если бы могли повторить проект, все четыре группы дали почти идентичные ответы: примерно 70% предложили общее исправление в управлении ИТ-проектами, и 30% предложили исправление, специфичное для сегментации.
Это соотношение сохранилось даже в архетипе "Операционное бремя", где респонденты явно отвергли сбои в управлении проектами как причину и определили нагрузку по поддержке политик и риск простоев как основные препятствия. Оно сохранилось и в "Ловушке границ и видимости", где недостаточная видимость активов и сложность окружения были названы доминирующими причинами. В обеих группах примерно три четверти респондентов всё равно предложили общие исправления в управлении ИТ.
В документе предлагаются два объяснения. Первое: работа в рамках плохо управляемого проекта оставляет у специалистов стойкое впечатление, так что их предложения по исправлению отражают общее чувство, что с проектом обращались неправильно, даже когда непосредственная причина была технической. Второе: общие сбои в управлении проектами действительно являются первичными причинами. Проект, реалистично определённый по границам, адекватно обеспеченный ресурсами и управляемый с чёткими полномочиями по принятию решений, мог бы столкнуться с теми же техническими барьерами раньше и разрешить их до того, как они стали фатальными.
Управление проектом — это необходимый фундамент. Проект без него вряд ли добьётся успеха, независимо от технического подхода. Когда неудача носит в первую очередь технический характер, как в случае с Операционным Тяготом или Ловушкой Объёма и Видимости, техническая проблема требует прямого технического решения. Лучшее управление само по себе не устранит чрезмерную рутину ручной работы с политиками или недостаточную видимость активов.
Как специалисты могут это использовать
Система архетипов даёт командам возможность диагностировать ситуацию до того, как проект провалится. Команда, планирующая сегментацию кампуса с использованием макросегментации на уровне 2, подвержена повышенному риску попасть либо в Идеальный Шторм, либо в Ловушку Объёма и Видимости. Инвестиции в обнаружение активов и определение границ среды до начала проекта напрямую решают профиль Ловушки Объёма и Видимости. Команда с достаточной поддержкой руководства и чёткими целями, которая сталкивается с растущей нагрузкой по поддержке политик, скорее всего, находится на территории Операционного Тягота. Это требует инвестиций в автоматизацию политик и осмысленного обсуждения приемлемого уровня риска нарушений.
Организации, реализующие проекты микросегментации, были распределены по архетипам более равномерно, и ни тип рабочих нагрузок, ни большинство сетевых сред не были связаны с конкретными паттернами неудач. Важны те связи, которые описывают подход: уровень 2 или уровень 3, макро- или микросегментация, и включён ли кампус в область охвата.
Руководство: Имитация нарушений и атак & Автоматизированное тестирование на проникновение