Контакты
Подписка 2024

8 принципов построения архитектуры безопасности в парадигме Zero Trust

Виталий Даровских, 01/11/22

Практическое внедрение парадигмы нулевого доверия (ZT, Zero Trust) при обеспечении сетевой безопасности компании в последние годы приобретает все новых и новых сторонников. Принцип “никому не доверяй”, лежащий в основе ZT, кажется особенно актуальным в условиях регулярных хакерских атак на инфраструктуру российских компаний. Но как правильно сместить акцент с безопасности ресурсов на безопасность сегментов сети предприятия? Давайте рассмотрим восемь основных принципов ZT, а также отечественные продукты, способствующие реализации этих принципов.

Автор: Виталий Даровских, менеджер по продукту Efros ACS компании “Газинформсервис”

Принципы нулевого доверия

Рассмотрим восемь принципов ZT, учитывая которые, можно выстроить образцовую систему безопасности.

  1. Доступ к значимым корпоративным ресурсам для каждой новой сессии предоставляется только после прохождения пользователем процедур аутентификации и авторизации.
  2. Доступ к одному ресурсу не дает по умолчанию доступ к другому.
  3. Запросы на доступ от пользователей, расположенных внутри условного периметра компании, отвечают тем же требованиям безопасности, что и запросы, поступающие извне.
  4. Необходимы контроль устройств и отслеживание их активности, обеспечение их исправности и функционирования.
  5. Должен постоянно осуществляться сбор и анализ информации о текущем состоянии сетевой инфраструктуры, сетевом трафике, запросах доступа.
  6. Все ресурсы аутентификации и авторизации должны контролироваться.
  7. У компании должна быть система управления учетными данными, активами и доступом, включая многофакторную аутентификацию.
  8. Должны быть реализованы принципы адаптивной аутентификации и авторизации; чем критичнее запрос на доступ, тем детальнее должна быть проверка доступа.

Стоит отметить, что единообразных требований и критериев обеспечения безопасности в парадигме ZT пока не существует, нет и единого способа решения всех задач ZT. Более того, большинство компаний, решивших работать в этой парадигме, находятся сейчас в переходной фазе, когда часть инфраструктуры уже работает в соответствии с концепцией, а другая еще нет. Появляется вопрос, с решения каких задач и исполнения каких критериев нужно начинать переход к работе в рамках ZT.

Самыми простыми и эффективными мерами, которые помогут быстро повысить уровень ИБ в компании, являются меры, направленные на обеспечение контроля авторизации и аутентификации пользователей, а также контроль сетевой инфраструктуры и трафика.

Контроль этих параметров так или иначе необходим для обеспечения высокого уровня информационной безопасности компании. Но какие конкретно программные продукты выбрать? Особенно остро этот вопрос ощущается в условиях ухода с российского рынка ряда иностранных производителей.

Не все об этом знают, но отечественным разработчикам есть что предложить. Например, в линейке продуктов "Газинформсервиса" имеются два решения, позволяющих обеспечивать и контроль сетевого оборудования, и сетевую идентификацию, и управление доступом администраторов на всех сетевых устройствах, – это Efros Config Inspector и Efros Access Control Server. Рассмотрим подробнее возможности продуктов.

Основные функции Efros Config Inspector

Efros Config Inspector (Efros CI) – это программный комплекс, предназначенный для обеспечения контроля конфигураций и состояний рабочей среды сетевого оборудования, средств защиты информации, платформ виртуализации и операционных систем.


Рис. 1. Схема работы Efros Config Inspector

Функции Efros CI:

  • проверка наличия уязвимостей оборудования, формирование отчетов по результатам проверок;
  • контроль настроек элементов ИТ-инфраструктуры на соответствие различным отраслевым и корпоративным стандартам безопасности;
  • анализ правил межсетевого экранирования;
  • контроль конфигураций активного сетевого оборудования, сред виртуализации, операционных систем и ряда прикладного ПО – SCADA, СУБД, RPA и др.;
  • сбор и обработка событий с контролируемых устройств, ведение журнала событий, включающего аудит действий пользователей комплекса;
  • контроль целостности программного комплекса и функционирования оборудования, а также прикладного и системного ПО, установленного на контроль;
  • обработка данных о трафике с использованием протоколов Netflow/sFlow/IPFIX и т.п.;
  • хранение и резервирование данных в реляционной БД с возможностью настройки сроков хранения оперативной информации.

Основные функции Efros Access Control Server

Efros Access Control Server (Efros ACS) – это программный комплекс для обеспечения централизованной сетевой идентификации и управления доступом администраторов на сетевых устройствах и конечных точках сети. Комплекс объединяет в себе механизмы аутентификации, авторизации и аудита действий пользователей.

2_
Рис. 2. Дашборд Efros Access Control Server

Функции Efros ACS:

  • поддержка TACACS+ и (или) RADIUS для аутентификации, авторизации и учета действий пользователей на сетевых устройствах;
  • централизованное управление учетными данными и настройками;
  • поддержка внешнего источника учетных записей Active Directory Services, FreeIPA и поддержка протокола LDAP;
  • авторизация сетевых устройств и конечных точек по МАС-адресам;
  • авторизация устройств по протоколу 802.1х;
  • поддержка ролевой модели администраторов комплекса;
  • объединение сетевых устройств и учетных записей пользователей в группы;
  • экспорт журналов событий в SIEM в виде файлов в формате CSV или XLSX;
  • регистрация фактов доступа к сетевому оборудованию.


Рис. 3. Архитектура Efros Access Control Server

Решая задачи аутентификации администраторов на сетевом оборудовании и авторизации пользователей в сети, Efros ACS позволяет работать в рамках концепции Zero Trust. Более того, в планах развития продукта предусмотрена поддержка двухфакторной аутентификации (2FA) при конфигурировании устройств, а также управление доступом и групповыми политиками в иерархических структурах.

Переход на концепцию нулевого доверия может быть долгим и трудным, особенно если компания имеет широкую филиальную сеть, а ее сотрудники пользуются не только рабочими устройствами, но и личными гаджетами для исполнения трудовых обязанностей. На скорость перехода повлияет также и качество оборудования, используемого в компании, ведь далеко не все устройства смогут соответствовать современным политикам ZT. Придется потратить значительные ресурсы на переподготовку сотрудников и их обучение новым стандартам.

Однако, несмотря на сложности перехода, внедрение нового подхода к обеспечению безопасности поможет существенно повысить уровень защищенности компании, снизить возможную поверхность атаки, предотвратить нарушения политик доступа и получить возможность своевременного оповещения об инцидентах. Внедрение в работу двух программных продуктов – Efros ACS и Efros CI поможет в реализации сразу четырех из восьми принципов ZT.

Повысить эффективность ZT можно также за счет интеграции NAC (Network Access Control) с системами класса IDM/IAM. В последующих публикациях мы расскажем о развитии продуктов компании "Газинформсервис" в этом направлении.

Темы:Защита сетейТехнологииГазинформсервисZero TrustЖурнал "Информационная безопасность" №4, 2022Efros ACSEfros CI

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать