Контакты
Подписка 2025
Статьи по информационной безопасности

И снова про ZeroTrust: реализуема ли концепция без защиты периметра?

Вячеслав Половинко, 23/01/24

Концепция “нулевого доверия” (ZeroTrust) была впервые сформулирована в 2010 г. и, несмотря на прошествие значительного времени, только-только оформляется в виде референсных архитектур и конкретной практики применения. Рассмотрим ключевые аспекты концепции.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

ris1-Jan-23-2024-11-02-29-8625-AM

Опорой новой модели стал совершенно иной взгляд на слово "доверие", а именно выведение его из абсолюта. Больше не существует "доверенных" сегментов, пользователей, сетей, ресурсов – есть лишь уровень доверия и градация доверия, которые могут быть присвоены только после определенного набора мероприятий, включающих в себя авторизацию и предполагающих, даже после присвоения, непрерывный контроль на предмет компрометации.

Появление концепции "нулевого доверия" вызвано растущими проблемами в области информационной безопасности, которые в первую очередь связаны с эволюцией конечных точек обработки информации, включающих в себя множество "традиционных" и "нетрадиционных" платформ и устройств – ко вторым вполне можно отнести устройства IoT (Internet Things), SCADA-системы, АСУ ТП, мобильные устройства, инженерные системы. Все эти решения сами по себе часто не предполагают взаимодействия с многочисленными стеками систем информационной безопасности, но несут серьезные угрозы со стороны привилегированных пользователей, а также оставляют желать лучшего с точки зрения реализации так называемых внутренних, "гигиенических", мер защиты ИБ.

В литературе и в экспертном сообществе относительно концепции "нулевого доверия" часто встречаются два относительно противоположных суждения, каждое из которых кажется нам не совсем верным.

1. Концепцию сводят к какому-то одному решению/средству или сильно ограниченному набору решений/средств.

Нет необходимости тратить значительное время на опровержение данного тезиса, достаточно обратиться к тому, как ZeroTrust воспринимается в стандартах, например, регуляторов США. Цитирую: "ZeroTrust поощряет индивидуальный подход к совместной работе, направленной на постоянное совершенствование, в то же время включает в себя лучшие практики, инструменты и методологии, используемые в промышленности".

В референсных архитектурах (в рамках ZeroTrust), предлагаемых на зарубежных рынках регуляторами, экспертным сообществом, прямо говорится: "Интегрированные наборы продуктов, предлагаемые поставщиками, а не отдельные компоненты, будут способствовать снижению стоимости и рисков..."

2. Концепцию противопоставляют какому-то одному решению/средству.

Что касается противопоставления концепции "нулевого доверия" какомуто одному решению, то здесь следует рассмотреть следующую позицию. В общем виде она может быть сформулирована так: "Так как в основе концепции ZeroTrust лежит смещение защиты со статических сетевых периметров на пользователей и ресурсы, а само "нулевое доверие" предполагает, что не существует явного доверия к активам или учетным записям пользователей, основанного только на их физическом или сетевом расположении (то есть, например, локальные сети по сравнению с Интернетом) или на основе владения активами (корпоративными или личными), то сама защита периметра потеряла (теряет) свою актуальность".

Фактически сторонники данного подхода в конце концов встают на позицию, которая ближе к первому суждению – "свести концепцию к одному решению или строго ограниченному набору решений", а далее начинают критиковать выбранное решение, например: неэффективность МСЭ как класса средств защиты в рамках концепции ZeroTrust, неприменимость диодов данных для решения задач по изоляции сети в случае, если вы придерживаетесь стратегии ZeroTrust, отсутствие необходимости применять на практике термины "недоверенные", "доверенные" и "менее доверенные" сегменты и ресурсы и т.п.

В общем виде данная позиция даже может показаться логичной, но только до тех пор, пока не берется в расчет тот факт, что сама концепция ZeroTrust никак не исключает средства защиты периметра, средства защиты рабочих мест или деление сетей и ресурсов на более и менее "доверенные". Более того – концепция ZeroTrust прямо декларирует необходимость всех этих элементов как составной части комплексной эшелонированной системы защиты. Просто сама система защиты в рамках данной концепции "строится" более не от термина "доверие", а от термина "недоверие", поэтому и традиционная поговорка "Доверяй, но проверяй" неприменима в концепции ZeroTrust и уступила место новой: никогда не доверяй – всегда проверяй. Как следствие, указанный выше тезис если и может показаться логически верным, то лишь временно. Если мы метафорически переформулируем этот тезис, например, так: раз мы перешли к более комплексной системе видеонаблюдения в городской инфраструктуре, то дверные замки в наших квартирах нам более не требуются, – он вызовет разве что удивление.

Чем точно не является концепция ZeroTrust

  • Не является запретительной стратегией (по типу "все запретить и изолировать"), призванной построить систему запретов и барьеров. ZeroTrust детализирует уровень применения контроля привилегий сотрудников, сетей, ресурсов и исключает абсолютизацию привилегий саму по себе.
  • Не является готовым фреймворком, который быстро применим в организации в течение крайне ограниченного времени. Представляет из себя скорее долгосрочную концепцию целеполагания в области кибербезопасности. Срок перехода к конкретным практическим и комплексным мерам в рамках этой стратегии (то есть срок, когда архитектура ИБ и систем в целом может быть оценена на предмет соответствия концепции ZeroTrust) на примере опубликованных референсных архитектур составляет два года и более.
  • Не является революционной стратегией, предполагающей коренной перелом в осмыслении всей системы защиты. Скорее, является эволюционным решением, которое логически вытекает из значительно возросшего количества кибератак в силу постоянного роста распространенности сетевых технологий и средств обмена информацией; роста сложности и изощренности наблюдаемых киберугроз, уже реализовавшихся на практике; малой эффективности ранее доминирующей стратегии defense-in-depth против хорошо подготовленных и "оснащенных" злоумышленников и ее низкой эффективности для борьбы с внутренними угрозами.

В концепции ZeroTrust только лишь усиленная защита периметра организации уже не может быть эффективным средством обеспечения безопасности. Любая вновь внедряемая система безопасности (как комплекс) должна быть устойчива к эволюционирующим угрозам и эффективно локализовывать как внутренние, так и внешние векторы атак.

С точки зрения конечных пользователей (специалистов ИБ и не только), внедрение практик и архитектур ZeroTrust позволяет улучшить видимость защищаемой инфраструктуры, обеспечить контроль и анализ рисков, связанных с использованием инфраструктуры, приложений и данных.

Создание предпосылок для ZeroTrust

Стоит выделить концептуальные аспекты, на которых базируется реализация мер ZeroTrust и которые часто упускают в попытке сразу перейти к внедрению конкретных решений.

Модернизация существующей информационной инфраструктуры, которая (в особенности у крупных предприятий) развивалась в течение длительного времени и часто представляет собой разрозненный набор часто несовместимых решений и компонент.

Упрощение информационной архитектуры, и архитектуры безопасности. Фрагментарный подход к информационным технологиям и кибербезопасности привел к чрезмерной технической сложности, создавая уязвимости в комплексной защите организаций, неадекватному сроку локализации и устранения угроз, высоким трудозатратам поиска проблем в области ИБ. Избыточная сложность часто приводит к неявному стимулированию использования несанкционированных и небезопасных технологий персоналом.

Наличие явно определенной политики ИБ, четко согласующейся с целями организации. Транзитивность политики ИБ до всех систем, данных, ресурсов и сервисов. Отсутствие задокументированной лаконичной политики ИБ, согласованной с целями организации, часто служит препятствием в выборе конкретных решений, порождает экономическую неэффективность принимаемых управленческих решений в процессе модернизации систем информационной безопасности организации.

Формирование четких стандартов обмена данными и хранения данных, позволяющих использовать данные в целях роста непрерывности функционирования бизнеса, принятия эффективных управленческих решений. Широкое распространение удаленной работы, внедрение облачных вычислений привели к перемещению данных за пределы традиционных мест хранения и обработки, в том числе к их размещению в сторонних промышленных и пользовательских средах. Однако в настоящий момент все чаще встречаются проблемы совместимости между приложениями, сторонними организациями, внешними партнерами, в том числе сами системы ИБ становятся ограничивающим фактором применения облачных вычислений, аналитики данных, машинного обучения и искусственного интеллекта, что не может являться приемлемой долгосрочной стратегией.

Внедрение систем непрерывной многофакторной авторизации, которые призваны упростить возможности при перемещении субъектов между сетями и сегментами с разными уровнями доверия и доступа. Отсутствие практических решений контроля прав и привилегий субъектов при перемещении этих субъектов между сегментами с разным уровнем доверия может являться серьезным препятствием в верификации конкретных привилегий доступа к сервисам, данным и приложениям. Акцент в данном направлении сделан не на многофакторной авторизации как таковой, а на реализации аспектов ее непрерывности.

На более низком уровне архитектуры ZeroTrust базируются, как уже было отмечено, на "непрерывной" многофакторной аутентификации, а также на микросегментации, шифровании данных, защите конечных точек обработки информации и серверной инфраструктуры, автоматизации процессов ИБ, их оркестрации, аналитике и надежном аудите данных, приложений, активов, сервисов (Data, Application, Assets, Services), активном применении DCAP-, DLP-, SIEM-систем, SDN-сетей, внедрении в практику эталонных точек доступа, диодов данных и физической сегментации сетей, средств поведенческого анализа пользователей.

Заключение

Концепция ZeroTrust, несмотря на ряд достаточно "запретительных постулатов", лежащих в ее основе и часто воспринимаемых "читателем-обывателем" слишком поверхностно, на практике тяготеет к построению скоординированной, "бесшовной", прозрачной и экономически эффективной ИТ-архитектуры. Такая архитектура должна обеспечить надежное выполнение задач перед лицом постоянных киберугроз. ZeroTrust поддерживает подход к кибербезопасности, основанный на постепенной миграции и эволюции текущих систем ИБ, конечным результатом которой является взаимодействующая, полнофункциональная, оптимизированная архитектура кибербезопасности, обеспечивающая безопасность критически важных объектов.
Темы:АМТ-ГРУПZero TrustNGFWЖурнал "Информационная безопасность" №6, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Без паники, интегратор знает путь
    Сергей Мотовилов, операционный директор ООО “Глобал АйТи”
    В России насчитывается как минимум четыре десятка производителей NGFW с широким разбросом функциональных возможностей. Но сложность выбора лежит не только в технической плоскости, но и в адаптации понравившегося решения к задачам бизнеса. В такой ситуации партнерство с системным интегратором, обладающим опытом работы с отечественными продуктами, становится не просто желательной, а необходимой мерой.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"