1. CSN
  2. Всі випуски
  3. Випуск 7, Номер 2, 2025
  4. Оптимізація управління політиками файрволів в мікросегментованих мережах

Оптимізація управління політиками файрволів в мікросегментованих мережах

CSN.
2025;
Випуск 7, Номер 2
: cc. 193 - 205
https://doi.org/10.23939/csn2025.02.193
Автори:
  1. Р. М. Сиротинський
  2. І. Я. Тишик
1
Національний університет «Львівська політехніка», кафедра захисту інформації, Україна
2
Національний університет «Львівська політехніка», кафедра захисту інформації, Україна

Проаналізовано задачі та виклики щодо управління складними корпоративними мережами, які виникають під час міграції моделі периметральної безпеки до архітектури нульової довіри. Встановлено, що нехтування ними може призвести як до зниження якості сервісів у мікросегментованій мережевій інфраструктурі, так і до підвищення ризиків, пов’язаних із надмірним ускладненням правил в брандмауерах.
Оптимізація набору правил файрволів є важливим аспектом управління безпекою мережі, особливо в середовищах, які використовують архітектуру нульової довіри (ZTA) та мікросегментацію. Розглянуто стратегії оптимізації розгортання та адміністрування політик доступу з акцентом на автоматизацію та ефективність. Проаналізовано основні сценарії доступу до інформаційних ресурсів в корпоративних мережах та обговорюється актуальність впровадження автоматизації зі застосуванням інструментів на кшталт Ansible, Rundeck чи Terraform, що спрощує початкове розгортання конфігурацій у мікросегментованих структурах. Також запропоновано шаблон для автоматичної чи напівавтоматичної генерації правил та наведені сценарії його застосування.
Розглянуто ключові безпекові виклики, які виникають під час експлуатації мереж із дотриманням принципів нульової довіри. Запропоновано підходи щодо ефективного управління масивами правил файрволів, включно з їх узагальненням та життєвим циклом, нові механізми впровадження динамічних політик доступу. Встановлено, що запропоновані рішення сприяють зменшенню надмірності конфігураційних даних мережевих екранів, зниженню загалом операційного навантаження на команду адміністраторів, скороченню поверхні потенційних атак і, як наслідок, підвищенню продуктивності корпоративної мережі.

мікросегментація
політики безпеки
файрвол
оптимізація
автоматизація
структуризація мережі
  1. Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2019). Zero Trust Architecture. DOI: https://doi.org/10.6028/nist.sp.800-207-draft.
  2. Sarkorn, T., & Chimmanee, K. (2024). Review on Zero Trust Architecture Apply In Enterprise Next Generation   Firewall.   2024   8th   International   Conference   on   Information   Technology   (InCIT),   255-260.   DOI: https://doi.org/10.1109/incit63192.2024.10810611.
  3. Vanickis, R., Jacob, P., Dehghanzadeh, S., & Lee, B. (2018). Access Control Policy Enforcement for Zero- Trust-Networking.       2018       29th       Irish       Signals       and       Systems       Conference       (ISSC),       1-6.      DOI: https://doi.org/10.1109/ISSC.2018.8585365.
  4. Gokhale, A., & Kulkarni, S. (2024). Enhanced Zero Trust Implementation - A Novel Approach for Effective Network Policy Management and Compliance Tracking. International Journal for Research in Applied Science and Engineering Technology. DOI: https://doi.org/10.22214/ijraset.2024.58201.
  5. Creutz, L., & Dartmann, G. (2023). Decentralized Policy Enforcement in Zero Trust Architectures. 2023 IEEE Future Networks World Forum (FNWF), 1-6. DOI: https://doi.org/10.1109/FNWF58287.2023.10520563.
  6. Santis, A., Castiglione, A., Fiore, U., & Palmieri, F. (2011). An intelligent security architecture  for distributed  firewalling  environments.  Journal  of  Ambient  Intelligence  and  Humanized  Computing,  4,  223-234.  DOI:  https://doi.org/10.1007/s12652-011-0069-8.
  7. Benzaïd, C., Guerd, N., Rehouma, N., Zeraoulia, K., & Taleb, T. (2025). A Multi-Layered Zero Trust Microsegmentation Solution for Cloud-Native 5G & Beyond Networks. 2025 IEEE Wireless Communications and Networking Conference (WCNC), 1-7. DOI: https://doi.org/10.1109/WCNC61545.2025.10978671.
  8. Karanam, R. (2024). Zero Trust Architecture in DevSecOps: Enhancing Security in Cloud-Native Environments. International Journal for Research in Applied Science and Engineering Technology. DOI: https://doi.org/10.22214/ijraset.2024.64045.
  9. Zaborovsky, V., & Titov, A. (2009). Specialized Solutions for Improvement of Firewall Performance and Conformity to Security Policy. 603-608.
  10. Zarina, D., Safawati, W., Hafiz, M., & Syafiqa, M. (2018). Firewall Redundancy Rules Filtering Using Integrity Rules Checking. Advanced Science Letters, 24, 7451-7454. DOI: https://doi.org/10.1166/ASL.2018.12957.
  11. Golnabi, K., Min, R., Khan, L., & Al-Shaer, E. (2006). Analysis of Firewall Policy Rules Using Data Mining Techniques.  2006  IEEE/IFIP  Network   Operations  and  Management   Symposium  NOMS   2006,   305-315.   DOI: https://doi.org/10.1109/NOMS.2006.1687561.
  12. Syrotynskyi, R., & Tyshyk, I. (2025). FEATURES OF NETWORK ACCESS MANAGEMENT OF CORPORATE SYSTEMS IN ZERO TRUST ARCHITECTURE. CSN, 2025, Computer systems and network, Volume 7, Number 1, pp. 261–271. DOI: https://doi.org/10.23939/csn2025.01.261.
  13. Golnabi, K., Min, R., Khan, L., & Al-Shaer, E. (2006). Analysis of Firewall Policy Rules Using Data Mining Techniques.  2006  IEEE/IFIP  Network   Operations  and  Management   Symposium  NOMS   2006,   305-315.   DOI: https://doi.org/10.1109/NOMS.2006.1687561.
  14. Voronkov, A., Martucci, L., & Lindskog, S. (2020). Measuring the Usability of Firewall Rule Sets. IEEE Access, 8, 27106-27121. DOI: https://doi.org/10.1109/ACCESS.2020.2971093.