Zero trust архитектура: что это значит на практике для растущей компании

«Zero trust» - один из тех терминов, который звучит как категория продуктов, но на самом деле является философией безопасности. Я видел компании, тратившие шесть месяцев на оценку вендоров zero trust, так и не договорившись о том, какую проблему они решают. И я видел компании, которые за то же время существенно улучшили свою позицию безопасности, применяя ключевые принципы без покупки чего-либо нового.

Этот пост о принципах.

Старая модель и почему она ломается

Традиционная модель сетевой безопасности основана на периметре. Есть внутренняя сеть; всё внутри - доверенное; всё снаружи - нет. На границе стоит файрвол. Оказавшись внутри - по VPN, через офисный Wi-Fi или через скомпрометированную машину - можно добраться до вещей, до которых доступа быть не должно.

Эта модель имела смысл, когда «внутри» означало физический офис, а «снаружи» - интернет. Она сломалась, когда работа стала распределённой, когда сервисы перешли в SaaS, когда подрядчики и сторонние интеграции стали нормой, и когда злоумышленники поняли, что самый надёжный способ войти в сеть - через учётные данные, а не через порт файрвола.

Принцип zero trust

Zero trust заменяет «ты внутри сети?» на «ты тот, за кого себя выдаёшь, у тебя есть законная причина обращаться к этому конкретному ресурсу, и находится ли твоё устройство в приемлемом состоянии?»

Ключевой сдвиг: идентичность и контекст заменяют сетевое местоположение как основу для решений об доступе. Это означает:

• Каждый запрос аутентифицирован - не только при входе, но поcессионно или поре-запросно, в зависимости от чувствительности.
• Доступ минимально необходимый. Пользователь или сервис получает ровно тот доступ, который нужен для задачи, а не широкий доступ к сегменту сети.
• Состояние устройства - часть решения. Не обновлённый ноутбук или устройство без защиты конечной точки получает иной доступ, чем управляемое, соответствующее требованиям устройство.
• Боковое перемещение ограничено. Даже после компрометации одной машины или учётных данных злоумышленник не может легко добраться до других систем, потому что те также требуют аутентификации и авторизации.

Что это значит операционно

На практике движение к zero trust обычно включает:

Консолидацию идентичности. Единый провайдер идентичности (Okta, Azure AD, Google Workspace) как авторитетный источник для всего доступа. Это часто первый и наиболее значимый шаг.

Контроль доступа на уровне приложений. Вместо маршрутизации всех пользователей через VPN в корпоративную сеть каждое внутреннее приложение защищается прокси доступа, который применяет проверки идентичности. Cloudflare Access, Tailscale или прокси по образцу BeyondCorp делают это.

Микросегментация. Внутренние системы по умолчанию не имеют открытого доступа друг к другу. Сервисы общаются с теми сервисами, с которыми им нужно; доступ между другими запрещён, если явно не разрешён.

Непрерывная верификация. Сессии не действительны бессрочно. Повторная аутентификация требуется при определённых порогах чувствительности. Соответствие устройства проверяется, а не предполагается.

Как начать без полной перестройки

Внедрение zero trust не требует замены всего сразу. Реалистичная последовательность:

1. Консолидируйте идентичность и внедрите MFA везде, без исключений.
2. Проведите аудит того, какие системы откуда доступны. У большинства организаций здесь значительное непреднамеренное воздействие.
3. Замените VPN для доступа к внутренним приложениям прокси доступа, начиная с наиболее чувствительных приложений.
4. Двигайтесь к минимально необходимому доступу - начните с удаления доступа, которым не пользовались 90 дней.
5. Добавьте проверки состояния устройства в политику доступа по мере того, как получаете видимость состояния конечных точек.

Каждый шаг даёт измеримое улучшение независимо. Не нужно завершить все пять, чтобы быть в значительно лучшем положении, чем сейчас.

Управленческий фрейм

Zero trust - не продукт. Это направление. Вопрос для технического собственника не «достигли ли мы zero trust?», а «каков следующий конкретный шаг, снижающий радиус поражения в случае компрометации учётных данных?» На этот вопрос есть конкретный ответ на каждом уровне зрелости.