Zero trust: что это на самом деле и когда оно стоит вложений

"Zero trust" - нулевое доверие - стало одним из самых часто упоминаемых терминов в разговорах о корпоративной безопасности. Производители решений активно используют его в маркетинге. Консультанты рекомендуют его как обязательный следующий шаг. После атак 2020-2021 годов, затронувших крупные инфраструктуры, правительства ряда стран включили zero trust в официальные директивы по безопасности.

Стоит разобраться, что за этим термином стоит на практике, и когда это решает реальную проблему, а не просто звучит правильно.

Что такое zero trust

Классическая модель корпоративной сети исходит из идеи периметра: есть "внутри" и "снаружи". Тот, кто попал внутрь - через VPN, через офисную сеть - получает относительно широкий доступ к ресурсам. Угроза снаружи - злоумышленник, вирус - ограничивается на входе.

Эта модель давно не описывает реальность. Сотрудники работают из дома и из кафе. Подрядчики имеют доступ к внутренним системам. Облачные сервисы находятся вне "периметра". Взломанный аккаунт внутри периметра получает доступ к слишком большому количеству данных.

Zero trust строится на другом принципе: никому и ничему не доверять по умолчанию, даже тому, что уже внутри сети. Каждый запрос к ресурсу должен быть аутентифицирован, авторизован и проверен - независимо от того, откуда он пришёл.

Что это означает практически

Zero trust - не продукт и не технология. Это архитектурный принцип, который реализуется через несколько элементов.

Проверка идентификации. Не "ты в нашей сети, значит тебе доверяем", а "ты - это ты, это подтверждается". Многофакторная аутентификация, управление идентификаторами, единый источник правды о том, кто и какими правами обладает.

Минимум привилегий. Каждый пользователь и каждая система получает доступ только к тому, что необходимо для конкретной задачи. Не "доступ к внутренним системам вообще", а "доступ к конкретному приложению с конкретными правами".

Непрерывная проверка. Авторизация не выдаётся раз и навсегда. Аномальное поведение - вход с нового устройства, нестандартное время, необычный объём запросов - триггерит дополнительную проверку.

Микросегментация. Сеть не единое пространство, а разделённые сегменты. Даже если злоумышленник оказался внутри, он ограничен конкретным сегментом.

Для кого это актуально сейчас

Zero trust стоит рассматривать серьёзно в нескольких ситуациях:

• компания перешла на удалённую или гибридную работу и сотрудники подключаются из разных мест и устройств;
• есть подрядчики или партнёры с доступом к внутренним системам;
• компания активно использует облачные сервисы, и данные больше не живут только за периметром;
• бизнес работает с чувствительными данными - персональными данными, финансовыми данными, коммерческой тайной - где утечка стоит дорого.

Если ни одно из этих условий не выполнено, и компания небольшая с простой инфраструктурой - zero trust в полном смысле избыточен. Но базовые элементы концепции - МФА, минимум привилегий, регулярный аудит доступа - имеют смысл для любой компании.

Практический минимум

Прежде чем говорить о "внедрении zero trust" как о большом проекте, стоит убедиться, что базовые вещи сделаны:

1. Многофакторная аутентификация включена везде, где есть доступ к важным системам.
2. Список пользователей с правами регулярно пересматривается - бывшие сотрудники, подрядчики, технические аккаунты.
3. Для каждой роли определён минимально необходимый набор прав.
4. Есть журналы доступа, которые кто-то смотрит.

Это не zero trust в полном смысле. Но это то, с чего начинается любая разумная безопасность.