исследование 3 июня 2026

Микросегментация ЦОД и АСУ ТП: с чего начать и как выбрать платформу

Микросегментация делит инфраструктуру на изолированные зоны и разрешает между ними только явно описанный трафик. В ЦОД она прежде всего ограничивает горизонтальное распространение атак (east-west трафик), а в АСУ ТП — изолирует технологические сегменты и защищает системы, которые нельзя ни перезагрузить, ни обновить на лету. Это два разных мира с общим принципом «запрещено всё, что не разрешено явно» (default deny). **Если коротко:** микросегментация — это не покупка «коробки», а проект. Сначала инвентаризация потоков и карта зависимостей, потом политики в режиме наблюдения, и только затем перевод в блокирующий режим. Выбор платформы зависит от того, где вы сегментируете: для ЦОД важны агентный подход и видимость east-west, для АСУ ТП — безагентная, пассивная работа и поддержка промышленных протоколов. Ниже — различия требований, с чего начать, критерии выбора и чек-лист. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге NAC и микросегментации](/rating/nac-microsegmentation).

9 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Микросегментация ЦОД и АСУ ТП: как выбрать платформу — Тематическая иллюстрация к исследованию: Микросегментация ЦОД и АСУ ТП: как выбрать платформу. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Зачем микросегментация в ЦОД

Классический периметр защищает «север-юг» — трафик между внешним миром и дата-центром. Но внутри ЦОД основной объём — это «восток-запад»: обращения между виртуальными машинами, контейнерами и сервисами. Когда злоумышленник или вредонос закрепляется на одном узле, именно по этому горизонтальному трафику он перемещается дальше — к базам данных, контроллерам домена, хранилищам. Плоская внутренняя сеть превращает один скомпрометированный сервер в точку входа ко всей инфраструктуре.

Микросегментация в ЦОД ограничивает это распространение: каждая рабочая нагрузка получает свою политику, и сервер приложений может обращаться только к «своей» базе на «своём» порту, а не ко всему сегменту. Дополнительный эффект — сокращение области аудита для комплаенса (изолируются контуры с чувствительными данными) и прозрачность реальных зависимостей между сервисами, которую раньше никто не документировал.

Зачем микросегментация в АСУ ТП

В АСУ ТП (OT) логика другая. Здесь почти нет задачи «расшифровать L7-трафик» — здесь задача не сломать технологический процесс. Промышленные контроллеры (ПЛК), SCADA и панели оператора часто работают годами без обновлений, не терпят сканирования и активных опросов, используют специфические протоколы (Modbus, OPC, MMS, S7) и проектировались без расчёта на сетевые атаки.

Микросегментация в АСУ ТП — это в первую очередь изоляция технологических сегментов друг от друга и от корпоративной сети (по логике эшелонированной модели Purdue), чтобы инцидент в офисном сегменте не дотянулся до цеха. Ключевые требования здесь — пассивность (видимость без активного воздействия на устройства), безагентный подход (на ПЛК агент не поставить) и точное понимание промышленных протоколов. Ошибка в политике в АСУ ТП стоит не «недоступного сервиса», а остановки производства, поэтому переход в блокирующий режим делается особенно осторожно.

Различия требований: ЦОД против АСУ ТП

Критерий	ЦОД (IT)	АСУ ТП (OT)
Главная цель	Ограничить east-west распространение атак	Изолировать технологические сегменты, не нарушив процесс
Тип трафика	VM-to-VM, контейнеры, микросервисы	ПЛК ↔ SCADA, полевой уровень, телеметрия
Подход	Чаще агентный (хост-уровень)	Безагентный, пассивный мониторинг
Протоколы	TCP/IP, HTTP(S), gRPC, SQL	Modbus, OPC, MMS, S7, Profinet
Терпимость к сбою политики	Средняя: можно откатить правило	Низкая: риск остановки производства
Динамика среды	Высокая: автоскейл, эфемерные нагрузки	Низкая: стабильный, предсказуемый состав
Окно обновлений	Регулярное	Редкое, по регламенту техобслуживания

Агентный против безагентного подхода

Способ реализации микросегментации определяет, что и где вы сможете сегментировать. Три базовых подхода редко используются в чистом виде — на практике их комбинируют:

- **Агентный (хост-уровень).** На рабочих нагрузках ставится лёгкий агент, который видит все процессы и соединения и применяет политику прямо на узле. Даёт максимальную гранулярность и видимость L7, не зависит от топологии сети. Минус — нужен агент на каждой ОС; для legacy и тем более для ПЛК это неприменимо. - **Безагентный/сетевой.** Политика реализуется на уровне сети, гипервизора или фабрики SDN, трафик анализируется пассивно. Подходит там, где агент поставить нельзя — прежде всего в АСУ ТП и для «неуправляемых» устройств. Минус — меньше контекста о процессах и приложениях. - **Гибридный.** Агенты на управляемых нагрузках ЦОД плюс пассивный сетевой контроль для OT и устройств без агента. Чаще всего именно так выглядит реальный проект в смешанной среде.

Вывод простой: для динамичного ЦОД с управляемыми ОС агентный подход обычно даёт лучшую видимость; для АСУ ТП — безагентный и пассивный; для предприятия с обоими мирами нужна платформа, которая закрывает оба сценария из одной консоли.

С чего начать: инвентаризация, карта зависимостей, default deny

Главная ошибка — начинать с блокировок. Микросегментация почти всегда стартует с видимости, а не с запретов. Логичный порядок:

- **Инвентаризация активов и потоков.** Что у вас есть и кто с кем реально общается. Без полной карты любой набор правил будет либо дырявым, либо ломающим прод. - **Карта зависимостей приложений.** Группировка нагрузок по приложениям и сервисам, выявление легитимных связей и «теневого» трафика, который никто не помнит, но он работает. - **Политики в режиме наблюдения.** Сначала правила только логируют, что они бы заблокировали. Это даёт время найти ложные срабатывания до того, как они станут инцидентом. - **Постепенный переход к default deny.** Принцип «запрещено всё, что не разрешено явно» включается посегментно: сначала на некритичных контурах, затем — на ядре. В АСУ ТП этот шаг делается особенно осторожно и согласовывается с технологами.

Значимость критериев выбора платформы микросегментации

Усреднённая редакционная оценка важности критериев для смешанной среды ЦОД + АСУ ТП по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашей инфраструктуре.

Видимость потоков и карта зависимостей 95 /100

95 /100

Поддержка обоих миров: агентный + безагентный 90 /100

90 /100

Промышленные протоколы и пассивность для АСУ ТП 90 /100

90 /100

Режим наблюдения перед блокировкой 85 /100

85 /100

Масштабируемость политик и автоматизация 80 /100

80 /100

Интеграция с NAC, SIEM и инвентаризацией 75 /100

75 /100

Наличие в реестре ПО и сертификация ФСТЭК 75 /100

75 /100

Чек-лист старта микросегментации

Зафиксируйте границы проекта где сегментируем сначала: ЦОД, АСУ ТП или оба контура.

Соберите инвентаризацию активов и потоков без полной карты east-west правила будут дырявыми.

Постройте карту зависимостей приложений выявите легитимные связи и «теневой» трафик.

Определите модель подхода агентный для управляемых нагрузок, безагентный/пассивный для АСУ ТП.

Проверьте поддержку промышленных протоколов Modbus, OPC, MMS, S7, если в периметре есть OT.

Начните с режима наблюдения политики сначала логируют, а не блокируют.

Спланируйте переход к default deny посегментно сначала некритичные контуры, потом ядро.

Сверьте статус платформы наличие в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.

Сравните поставщиков по подтверждённым внедрениям в [рейтинге NAC и микросегментации](/rating/nac-microsegmentation).

План проекта микросегментации: 6 шагов

01 Инвентаризация
Соберите полный перечень активов, нагрузок и устройств в ЦОД и АСУ ТП, включая «неуправляемые» и legacy.
02 Карта зависимостей
Снимите реальный east-west трафик и связи между приложениями, согласуйте легитимные потоки с владельцами систем.
03 Шорт-лист и пилот
2–3 платформы, пилот на представительном сегменте, проверка агентного и безагентного режимов под вашу среду.
04 Политики в режиме наблюдения
Опишите правила, включите только логирование, вычистите ложные срабатывания и забытые зависимости.
05 Постепенный default deny
Переводите сегменты в блокирующий режим поэтапно — от некритичных к ядру; в АСУ ТП согласуйте окна с технологами.
06 Эксплуатация и контроль
Свяжите платформу с SIEM/NAC, настройте реакцию на отклонения, регулярно ревизуйте политики при изменении инфраструктуры.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом NAC и микросегментации](/rating/nac-microsegmentation): здесь — подходы и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с подходом и критериями — переходите к сравнению поставщиков: **[рейтинг NAC и микросегментации →](/rating/nac-microsegmentation)**. Полезно прочитать рядом: [NAC и микросегментация по модели Zero Trust](/research/nac-i-mikrosegmentaciya-zero-trust), [чем заменить Cisco ISE, Aruba ClearPass и Forescout](/research/zamena-cisco-ise-aruba-clearpass-forescout) и [рейтинг российских NAC и решений микросегментации 2026](/research/reyting-rossiyskih-nac-mikrosegmentaciya-2026).

Частые вопросы

Чем микросегментация отличается от обычной сегментации VLAN?

Классическая сегментация делит сеть на крупные зоны (VLAN, подсети) и почти не контролирует трафик внутри зоны. Микросегментация спускается до уровня отдельной нагрузки или устройства: политика описывает, кому именно и на какой порт разрешено обращаться. Это и даёт ограничение east-west распространения, которого VLAN не обеспечивает.

Можно ли применять микросегментацию в АСУ ТП без риска для процесса?

Да, если действовать пассивно и поэтапно. В АСУ ТП используют безагентный подход и режим наблюдения, а блокировки включают посегментно и по согласованию с технологами в регламентные окна. Активное сканирование и агенты на ПЛК — недопустимы, поэтому выбирают платформы, понимающие промышленные протоколы и не воздействующие на устройства.

Нужен ли агент на каждый сервер?

Не обязательно. Агентный подход даёт максимум видимости на управляемых ОС, но для legacy, сетевого оборудования и АСУ ТП используют безагентный/сетевой контроль. На практике большинство проектов в смешанной среде — гибридные: агенты там, где можно, пассивный мониторинг там, где нельзя.

С чего начать, чтобы не сломать прод?

С видимости, а не с запретов. Сначала инвентаризация и карта зависимостей, затем политики в режиме наблюдения (только логирование), и лишь потом постепенный переход к default deny — посегментно, от некритичных контуров к ядру.

Где сравнить конкретные платформы между собой?

В рейтинге NAC и микросегментации — там поставщики ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг NAC и микросегментации Сравнить поставщиков по подтверждённым сигналам NAC и микросегментация по модели Zero Trust Чем заменить Cisco ISE, Aruba ClearPass и Forescout в России Рейтинг российских NAC и решений микросегментации 2026