РАЗРАБОТКА ПРОТОТИПА МУЛЬТИВЕНДОРНОЙ ПЛАТФОРМЫ УПРАВЛЕНИЯ ПОЛИТИКАМИ БЕЗОПАСНОСТИ - Студенческий научный форум

XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Личный портфель

РАЗРАБОТКА ПРОТОТИПА МУЛЬТИВЕНДОРНОЙ ПЛАТФОРМЫ УПРАВЛЕНИЯ ПОЛИТИКАМИ БЕЗОПАСНОСТИ

Ананченко И.В. 1, Лобусов К.А. 1
1СПбГТИ (ТУ)
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

Цель исследования – разработка прототипа мультивендорной платформы для управления политиками информационной безопасности, основанной на интеграции Nautobot и расширения nautobot-app-firewall-models, обеспечивающей централизованное хранение и стандартизацию политик межсетевого экранирования в единой унифицированной модели данных, с возможностью автоматизировать генерацию, развертывание и контроль актуальности политик в гетерогенных инфраструктурах, содержащих решения различных производителей сетевого оборудования.

Введение. Современные предприятия сталкиваются с необходимостью поддерживать безопасность инфраструктуры, состоящей из оборудования множества разных производителей. Каждое устройство имеет свою собственную, часто свойственную только ему, систему конфигурирования сетевых политик безопасности (firewall-политики). Управление такими политиками вручную становится трудоемким и подверженным ошибкам процессом, поэтому актуальной становится задача своевременного обновления и контроля состояния всех устройств для предотвращения риска возникновения уязвимостей [1]. Для решения проблемы предлагается создание унифицированной платформы, способной хранить политики в едином формате, автоматически преобразовывать их в конкретные конфигурации для каждого устройства и контролировать актуальность настроек.

Предлагаются следующие требования, которым должна соответствовать разрабатываемая платформа:

  1. Централизованное хранилище: единая база данных политик безопасности, доступная для различных систем/модулей.

  2. Генерация конфигураций моделей устройств: автоматическое формирование оптимальных настроек для конкретных моделей устройств.

  3. Автоматизированное развертывание: интеграция с системами автоматизации (например, Ansible, SaltStack) для оперативного внесения изменений , что часто реализуется с использованием контейнеризации [3].

  4. Контроль актуальности: мониторинг текущих настроек устройств с проверкой соответствия установленным правилам.

  5. Обеспечение масштабируемости: поддержка добавления новых типов устройств и форматов политик.

Существующие решения. На сегодняшний день существует ряд инструментов для управления политиками безопасности, однако большинство из них ориентированы на работу с оборудованием конкретного производителя либо требуют ручного вмешательства при обновлении политик. Средиизвестныхрешенийможноотметитьтакиекак: Cisco Firepower Management Center, Check Point SmartConsole, Palo Alto Networks Panorama. Однако ни одно из указанных решений не обеспечивает полной универсализации процесса хранения и преобразования политик для разнородного парка оборудования.

Архитектура предлагаемого решения основана на интеграции двух компонентов:

1. Nautobot: система управления активами сети (NetBox), позволяющая централизованно отслеживать и управлять устройствами различного типа.

2. nautobot-app-firewall-models: расширение Nautobot [2], предназначенное специально для моделирования и управления правилами файрволла.

Nautobot — современная платформа с открытым исходным кодом для моделирования и автоматизации сетевой инфраструктуры, реализующая концепцию централизованного хранилища данных (Source of Truth). Nautobot предоставляет API, расширяемую модель данных, механизм приложений (apps) для наращивания функциональности. Для усиления функциональности Nautobot будет использовано расширение nautobot-app-firewall-models предназначенное для моделирования, хранения и управления политиками межсетевых экранов (firewall policies) в единой, вендор-независимой структуре данных. Использование расширения позволит обеспечить абстрактное описание политик безопасности, которое затем может быть трансформировано в конкретные конфигурации для различных производителей, поддерживаемых платформой (например, оборудование Cisco, Checkpoint, Fortinet и др.).

Два названных компонента обеспечивают:

  1. Хранение моделей сетей и устройств,

  2. Поддержку различных форматов правил безопасности,

  3. Возможность автоматического формирования файлов конфигурации для конкретных платформ.

Архитектура разрабатываемого комплекса будет включать три основных компонента:

  1. Хранилище моделей и политик: единый репозиторий для всех типов политик, поддерживающий стандартизацию формата представления.

  2. Модуль конвертации: механизм перевода общих политик в специфичные настройки для каждой марки оборудования.

  3. Система мониторинга и деплоймента: контроль текущего состояния устройств и применение обновленных настроек через интеграционные механизмы.

Реализация проекта. Проект предполагает выполнение следующих этапов разработки:

1. Анализ требований пользователей: сбор и систематизация потребностей предприятий по управлению политиками безопасности.

2. Разработка архитектуры системы: проектирование структуры базы данных, модулей обработки и интерфейсов взаимодействия.

3. Реализация MVP – разработка минимально жизнеспособного продукта с основными функциями (централизация, конвертация, деплоймент).

4. Тестирование и улучшение – проведение тестирования прототипа, выявление недостатков и их устранение.

5. Документирование и подготовка к эксплуатации: оформление технической документации, инструкций по установке и настройке.

Ожидаемые результаты – по итогам реализации проекта планируется создать прототип мультивендорной платформы управления политиками безопасности, обладающей следующими характеристиками:

  1. Централизованным управлением политиками для любого количества марок оборудования.

  2. Автоматическим созданием конфигурационных файлов.

  3. Интеграцией с существующими инструментами автоматизации (Ansible, SaltStack).

  4. Мониторингом текущего состояния политик и уведомлениями о несоответствиях.

Заключение. Создание мультивендорной платформы управления политиками безопасности позволит снизить риски, связанные с человеческим фактором при ручной настройке и мониторинге правил безопасности. Реализация предлагаемого проекта позволит повысить уровня информационной защиты организаций, работающих с разнородными парками оборудования.

Литература

  1. Ананченко, И. В. Уязвимости CVE: практическая ценность и методы обнаружения / И. В. Ананченко, В. А. Мамрук // Молодые имена в науке 2026 : Сборник статей III Международного научно-исследовательского конкурса, Пенза, 08 января 2026 года. – Пенза: Наука и Просвещение (ИП Гуляев Г.Ю.), 2026. – С. 44-47. – EDN SXWGSU.

  2. Nautobot/nautobot-app-firewall-models - [Электронный ресурс]. – Режим доступа: URL:https://github.com/nautobot/nautobot-app-firewall-models (07.02.2026)

  3. Ананченко, И. В. Контейнеризатор приложений docker - установка, настройка, основы управления приложениями в средах с поддержкой контейнеризации: учебно-методическое пособие / И. В. Ананченко, Т. В. Зудилова, С. Е. Иванов; Министерство науки и высшего образования Российской Федерации, университет ИТМО. – Санкт-Петербург: Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, 2023. – 57 с. – EDN COEDPX.

Просмотров работы: 0