NAC и микросегментация: как контролировать доступ в сети по модели Zero Trust

Что такое NAC и зачем он нужен

NAC (Network Access Control, контроль сетевого доступа) — это класс решений, который управляет допуском устройств и пользователей к сети и определяет, в какой сегмент их поместить. Идея простая: прежде чем дать узлу доступ, система должна понять, что это за устройство, кому оно принадлежит и соответствует ли политикам безопасности.

Базовые функции NAC:

- **Аутентификация по 802.1X.** Порт коммутатора или точка доступа Wi-Fi не пропускают трафик, пока устройство (или пользователь) не пройдёт проверку через RADIUS-сервер. Это «замок на входе» в проводную и беспроводную сеть. - **Профилирование устройств.** Не всё умеет 802.1X (принтеры, IP-камеры, оборудование АСУ ТП, медтехника). NAC определяет тип устройства по косвенным признакам (DHCP, MAC-адрес, поведение трафика) и применяет правило без агента. - **Проверка соответствия (posture).** Перед допуском проверяется состояние узла: обновления, антивирус, шифрование диска, версия ОС. Не соответствует — в карантин или ремонтный VLAN. - **Гостевой доступ.** Отдельный портал и изолированный сегмент для подрядчиков и посетителей, без доступа к корпоративным ресурсам. - **Динамическое назначение сегмента.** По итогам проверки NAC помещает узел в нужный VLAN или применяет политику доступа — это связующее звено с сегментацией.

Что такое микросегментация

Микросегментация — это разбиение сети на множество мелких изолированных зон с политиками, которые контролируют трафик не только «север-юг» (между сетью и внешним миром), но и «восток-запад» — между узлами и рабочими нагрузками внутри периметра. Классическая сеть с парой больших VLAN доверяет всему, что уже внутри; микросегментация эту презумпцию доверия убирает.

Ключевые идеи подхода:

- **Политики «восток-запад».** Разрешено только то, что явно описано: веб-сервер может обращаться к своей БД на конкретном порту, но не к соседнему сервису и не к рабочим станциям. - **Гранулярность вплоть до нагрузки.** Сегмент — это не обязательно подсеть; политика может привязываться к конкретной ВМ, контейнеру, приложению или метке (тегу). - **Идентичность вместо IP.** В зрелых решениях правило опирается не на адрес, а на идентичность рабочей нагрузки, что устойчиво к смене IP и миграции ВМ. - **Снижение «радиуса поражения».** Даже если один узел скомпрометирован, микросегментация не даёт атакующему свободно двигаться к ценным активам.

Как NAC и микросегментация снижают горизонтальное перемещение

Горизонтальное (латеральное) перемещение — это этап атаки, на котором злоумышленник, закрепившись на одном узле, продвигается к другим: ищет учётные данные, сканирует сеть, переходит к серверам с ценными данными. Большинство громких инцидентов — это не один взломанный хост, а именно цепочка перемещений по «плоской» внутренней сети.

В логике Zero Trust оба механизма работают на разных рубежах и дополняют друг друга:

- **NAC отсекает чужое и непроверенное на входе.** Неизвестное устройство не получает доступ к рабочим сегментам; несоответствующий политике узел уходит в карантин. Это сокращает число точек, с которых атака вообще может начаться. - **Микросегментация лишает атакующего свободы движения внутри.** Даже легитимно подключённый, но скомпрометированный узел упирается в запрещающие правила «восток-запад» — сканирование и переходы к соседям блокируются и фиксируются. - **Идентичность и контекст вместо «доверенной зоны».** Решение о доступе принимается по тому, кто/что подключается и в каком состоянии, а не по факту «находится внутри периметра». Это и есть суть Zero Trust применительно к сети.

NAC vs микросегментация: в чём разница

Это не конкурирующие, а взаимодополняющие классы. NAC отвечает за допуск в сеть и первичное помещение в сегмент; микросегментация — за то, что разрешено внутри между уже допущенными узлами. Таблица ниже фиксирует разницу по задаче, уровню и принципу работы.

Агентный и безагентный подход

Оба класса решений реализуются по двум базовым архитектурам — с агентом на узле и без него. Выбор влияет на гранулярность политик, покрытие парка устройств и трудоёмкость эксплуатации.

- **Агентный подход.** На рабочую нагрузку или хост ставится агент, который видит процессы, идентичность и локальные потоки. Это даёт самую тонкую гранулярность политик и работает поверх любой сети, но требует поддержки агента под все ОС и невозможен там, где агента не поставить. - **Безагентный подход.** Контроль на уровне сети, гипервизора или сетевого оборудования без установки ПО на узел. Незаменим для устройств, куда агент не ставится (IoT, принтеры, камеры, оборудование АСУ ТП), и проще в массовом охвате, но гранулярность обычно грубее и сильнее зависит от инфраструктуры. - **Гибрид.** На практике зрелые внедрения комбинируют оба: агенты — на серверах и рабочих станциях, безагентный контроль и профилирование — для «немых» устройств и периметра. NAC чаще тяготеет к безагентному профилированию, микросегментация — к агентному, но строгого деления нет.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом NAC и микросегментации](/rating/nac-microsegmentation): здесь — подходы и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с подходами — переходите к сравнению поставщиков: **[рейтинг NAC и микросегментации →](/rating/nac-microsegmentation)**. Полезно прочитать рядом: [чем заменить Cisco ISE, Aruba ClearPass и Forescout](/research/zamena-cisco-ise-aruba-clearpass-forescout), [рейтинг российских NAC и микросегментации 2026](/research/reyting-rossiyskih-nac-mikrosegmentaciya-2026) и [микросегментация ЦОД и АСУ ТП: как выбрать платформу](/research/mikrosegmentaciya-cod-asu-tp-kak-vybrat).