Zero trust: практическая отправная точка для тех, кто не занимается безопасностью профессионально
О zero trust говорят постоянно, но внедряют редко. Прямое объяснение того, что это значит на практике, и с чего реально стоит начать компании с ограниченными ресурсами в области безопасности.
Zero trust уже несколько лет остаётся модным словом в сфере безопасности. Оно встречается в каждой вендорской презентации, в каждом фреймворке безопасности и в большинстве документов по IT-стратегии. При этом это одна из самых плохо понятых концепций в практической корпоративной безопасности.
Хочу написать об этом прямо, с позиции человека, который разговаривает с инженерными и управленческими командами, не являющимися специалистами по безопасности, но вынужденными принимать решения в этой области.
Что zero trust означает на самом деле
Исходная идея за zero trust такова: предположение о том, что «внутри сети всё безопасно», неверно. Традиционная периметровая безопасность относится к корпоративной сети как к замку - всё за стеной не вызывает доверия, всё внутри стены пользуется доверием. Проблема в том, что эта модель никогда не была полностью верной, а с облачными сервисами, удалённой работой и мобильными устройствами она стала ещё менее верной.
Zero trust заменяет это допущение более простым: по умолчанию не доверять ничему. Каждый запрос - откуда бы он ни пришёл: из офиса, через VPN, из облачного сервиса или с личного устройства - проверяется перед предоставлением доступа. Верификация происходит на основании идентичности, состояния устройства и контекста, а не на основании сетевого расположения.
Это принцип. Практика значительно сложнее.
Что реально включает внедрение zero trust
Zero trust - это не продукт, который можно купить. Это набор архитектурных решений, последовательно применяемых по всей инфраструктуре доступа. Основные области:
Идентичность. Строгая аутентификация для каждого пользователя каждый раз. На практике это означает многофакторную аутентификацию везде без исключений, единый вход для обеспечения согласованности аутентификации и управление сессиями с повторной верификацией вместо постоянного доверия.
Доверие к устройству. Решения о доступе учитывают, является ли устройство управляемым, установлены ли актуальные патчи и соответствует ли оно минимальным требованиям безопасности. Неуправляемые личные устройства получают другой уровень доступа, чем управляемые корпоративные.
Минимально необходимый доступ. Пользователи и системы получают минимальный доступ, необходимый для конкретной роли. Концепция не нова, но zero trust превращает её в постоянный механизм принуждения, а не в разовую настройку.
Микросегментация. Внутри сети сервисы изолированы, чтобы скомпрометированный компонент не мог свободно перемещаться к другим системам. Это ограничивает радиус поражения при любом взломе.
С чего начать при ограниченных ресурсах
Полное внедрение zero trust - многолетняя программа. Если вы компания с небольшой IT- или инженерной командой и без выделенной функции безопасности, начинать нужно с идентичности.
Единственное действие с наибольшей ценностью в большинстве организаций - обязательная многофакторная аутентификация на всех аккаунтах: почта, репозитории кода, облачные консоли, HR-системы, финансовые системы. МФА останавливает большинство атак на основе скомпрометированных учётных данных, независимо от того, где именно они были похищены.
Второе действие - аудит того, у кого к чему есть доступ. В большинстве организаций накоплены значительные «завалы» доступов: бывшие сотрудники, сервисные аккаунты с избыточными правами, общие учётные данные. Ежеквартальный аудит доступа не требует никаких новых технологий и существенно снижает риски.
Эти два шага не являются zero trust в полном архитектурном смысле. Но они устраняют сбои, которые реально вызывают большинство инцидентов, и их можно реализовать без выделенного бюджета на безопасность.