Контакты
Подписка 2024

И снова про ZeroTrust: реализуема ли концепция без защиты периметра?

Вячеслав Половинко, 23/01/24

Концепция “нулевого доверия” (ZeroTrust) была впервые сформулирована в 2010 г. и, несмотря на прошествие значительного времени, только-только оформляется в виде референсных архитектур и конкретной практики применения. Рассмотрим ключевые аспекты концепции.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

ris1-Jan-23-2024-11-02-29-8625-AM

Опорой новой модели стал совершенно иной взгляд на слово "доверие", а именно выведение его из абсолюта. Больше не существует "доверенных" сегментов, пользователей, сетей, ресурсов – есть лишь уровень доверия и градация доверия, которые могут быть присвоены только после определенного набора мероприятий, включающих в себя авторизацию и предполагающих, даже после присвоения, непрерывный контроль на предмет компрометации.

Появление концепции "нулевого доверия" вызвано растущими проблемами в области информационной безопасности, которые в первую очередь связаны с эволюцией конечных точек обработки информации, включающих в себя множество "традиционных" и "нетрадиционных" платформ и устройств – ко вторым вполне можно отнести устройства IoT (Internet Things), SCADA-системы, АСУ ТП, мобильные устройства, инженерные системы. Все эти решения сами по себе часто не предполагают взаимодействия с многочисленными стеками систем информационной безопасности, но несут серьезные угрозы со стороны привилегированных пользователей, а также оставляют желать лучшего с точки зрения реализации так называемых внутренних, "гигиенических", мер защиты ИБ.

В литературе и в экспертном сообществе относительно концепции "нулевого доверия" часто встречаются два относительно противоположных суждения, каждое из которых кажется нам не совсем верным.

1. Концепцию сводят к какому-то одному решению/средству или сильно ограниченному набору решений/средств.

Нет необходимости тратить значительное время на опровержение данного тезиса, достаточно обратиться к тому, как ZeroTrust воспринимается в стандартах, например, регуляторов США. Цитирую: "ZeroTrust поощряет индивидуальный подход к совместной работе, направленной на постоянное совершенствование, в то же время включает в себя лучшие практики, инструменты и методологии, используемые в промышленности".

В референсных архитектурах (в рамках ZeroTrust), предлагаемых на зарубежных рынках регуляторами, экспертным сообществом, прямо говорится: "Интегрированные наборы продуктов, предлагаемые поставщиками, а не отдельные компоненты, будут способствовать снижению стоимости и рисков..."

2. Концепцию противопоставляют какому-то одному решению/средству.

Что касается противопоставления концепции "нулевого доверия" какомуто одному решению, то здесь следует рассмотреть следующую позицию. В общем виде она может быть сформулирована так: "Так как в основе концепции ZeroTrust лежит смещение защиты со статических сетевых периметров на пользователей и ресурсы, а само "нулевое доверие" предполагает, что не существует явного доверия к активам или учетным записям пользователей, основанного только на их физическом или сетевом расположении (то есть, например, локальные сети по сравнению с Интернетом) или на основе владения активами (корпоративными или личными), то сама защита периметра потеряла (теряет) свою актуальность".

Фактически сторонники данного подхода в конце концов встают на позицию, которая ближе к первому суждению – "свести концепцию к одному решению или строго ограниченному набору решений", а далее начинают критиковать выбранное решение, например: неэффективность МСЭ как класса средств защиты в рамках концепции ZeroTrust, неприменимость диодов данных для решения задач по изоляции сети в случае, если вы придерживаетесь стратегии ZeroTrust, отсутствие необходимости применять на практике термины "недоверенные", "доверенные" и "менее доверенные" сегменты и ресурсы и т.п.

В общем виде данная позиция даже может показаться логичной, но только до тех пор, пока не берется в расчет тот факт, что сама концепция ZeroTrust никак не исключает средства защиты периметра, средства защиты рабочих мест или деление сетей и ресурсов на более и менее "доверенные". Более того – концепция ZeroTrust прямо декларирует необходимость всех этих элементов как составной части комплексной эшелонированной системы защиты. Просто сама система защиты в рамках данной концепции "строится" более не от термина "доверие", а от термина "недоверие", поэтому и традиционная поговорка "Доверяй, но проверяй" неприменима в концепции ZeroTrust и уступила место новой: никогда не доверяй – всегда проверяй. Как следствие, указанный выше тезис если и может показаться логически верным, то лишь временно. Если мы метафорически переформулируем этот тезис, например, так: раз мы перешли к более комплексной системе видеонаблюдения в городской инфраструктуре, то дверные замки в наших квартирах нам более не требуются, – он вызовет разве что удивление.

Чем точно не является концепция ZeroTrust

  • Не является запретительной стратегией (по типу "все запретить и изолировать"), призванной построить систему запретов и барьеров. ZeroTrust детализирует уровень применения контроля привилегий сотрудников, сетей, ресурсов и исключает абсолютизацию привилегий саму по себе.
  • Не является готовым фреймворком, который быстро применим в организации в течение крайне ограниченного времени. Представляет из себя скорее долгосрочную концепцию целеполагания в области кибербезопасности. Срок перехода к конкретным практическим и комплексным мерам в рамках этой стратегии (то есть срок, когда архитектура ИБ и систем в целом может быть оценена на предмет соответствия концепции ZeroTrust) на примере опубликованных референсных архитектур составляет два года и более.
  • Не является революционной стратегией, предполагающей коренной перелом в осмыслении всей системы защиты. Скорее, является эволюционным решением, которое логически вытекает из значительно возросшего количества кибератак в силу постоянного роста распространенности сетевых технологий и средств обмена информацией; роста сложности и изощренности наблюдаемых киберугроз, уже реализовавшихся на практике; малой эффективности ранее доминирующей стратегии defense-in-depth против хорошо подготовленных и "оснащенных" злоумышленников и ее низкой эффективности для борьбы с внутренними угрозами.

В концепции ZeroTrust только лишь усиленная защита периметра организации уже не может быть эффективным средством обеспечения безопасности. Любая вновь внедряемая система безопасности (как комплекс) должна быть устойчива к эволюционирующим угрозам и эффективно локализовывать как внутренние, так и внешние векторы атак.

С точки зрения конечных пользователей (специалистов ИБ и не только), внедрение практик и архитектур ZeroTrust позволяет улучшить видимость защищаемой инфраструктуры, обеспечить контроль и анализ рисков, связанных с использованием инфраструктуры, приложений и данных.

Создание предпосылок для ZeroTrust

Стоит выделить концептуальные аспекты, на которых базируется реализация мер ZeroTrust и которые часто упускают в попытке сразу перейти к внедрению конкретных решений.

Модернизация существующей информационной инфраструктуры, которая (в особенности у крупных предприятий) развивалась в течение длительного времени и часто представляет собой разрозненный набор часто несовместимых решений и компонент.

Упрощение информационной архитектуры, и архитектуры безопасности. Фрагментарный подход к информационным технологиям и кибербезопасности привел к чрезмерной технической сложности, создавая уязвимости в комплексной защите организаций, неадекватному сроку локализации и устранения угроз, высоким трудозатратам поиска проблем в области ИБ. Избыточная сложность часто приводит к неявному стимулированию использования несанкционированных и небезопасных технологий персоналом.

Наличие явно определенной политики ИБ, четко согласующейся с целями организации. Транзитивность политики ИБ до всех систем, данных, ресурсов и сервисов. Отсутствие задокументированной лаконичной политики ИБ, согласованной с целями организации, часто служит препятствием в выборе конкретных решений, порождает экономическую неэффективность принимаемых управленческих решений в процессе модернизации систем информационной безопасности организации.

Формирование четких стандартов обмена данными и хранения данных, позволяющих использовать данные в целях роста непрерывности функционирования бизнеса, принятия эффективных управленческих решений. Широкое распространение удаленной работы, внедрение облачных вычислений привели к перемещению данных за пределы традиционных мест хранения и обработки, в том числе к их размещению в сторонних промышленных и пользовательских средах. Однако в настоящий момент все чаще встречаются проблемы совместимости между приложениями, сторонними организациями, внешними партнерами, в том числе сами системы ИБ становятся ограничивающим фактором применения облачных вычислений, аналитики данных, машинного обучения и искусственного интеллекта, что не может являться приемлемой долгосрочной стратегией.

Внедрение систем непрерывной многофакторной авторизации, которые призваны упростить возможности при перемещении субъектов между сетями и сегментами с разными уровнями доверия и доступа. Отсутствие практических решений контроля прав и привилегий субъектов при перемещении этих субъектов между сегментами с разным уровнем доверия может являться серьезным препятствием в верификации конкретных привилегий доступа к сервисам, данным и приложениям. Акцент в данном направлении сделан не на многофакторной авторизации как таковой, а на реализации аспектов ее непрерывности.

На более низком уровне архитектуры ZeroTrust базируются, как уже было отмечено, на "непрерывной" многофакторной аутентификации, а также на микросегментации, шифровании данных, защите конечных точек обработки информации и серверной инфраструктуры, автоматизации процессов ИБ, их оркестрации, аналитике и надежном аудите данных, приложений, активов, сервисов (Data, Application, Assets, Services), активном применении DCAP-, DLP-, SIEM-систем, SDN-сетей, внедрении в практику эталонных точек доступа, диодов данных и физической сегментации сетей, средств поведенческого анализа пользователей.

Заключение

Концепция ZeroTrust, несмотря на ряд достаточно "запретительных постулатов", лежащих в ее основе и часто воспринимаемых "читателем-обывателем" слишком поверхностно, на практике тяготеет к построению скоординированной, "бесшовной", прозрачной и экономически эффективной ИТ-архитектуры. Такая архитектура должна обеспечить надежное выполнение задач перед лицом постоянных киберугроз. ZeroTrust поддерживает подход к кибербезопасности, основанный на постепенной миграции и эволюции текущих систем ИБ, конечным результатом которой является взаимодействующая, полнофункциональная, оптимизированная архитектура кибербезопасности, обеспечивающая безопасность критически важных объектов.

Темы:АМТ-ГРУПZero TrustNGFWЖурнал "Информационная безопасность" №6, 2023

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
  • Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов
    Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
    Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности в NGFW, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.
  • Важные слагаемые развития NGFW: опыт UserGate
    Иван Чернов, Менеджер партнерского отдела UserGate
    Сегмент NGFW в России еще очень молод, да еще и перегрет спросом, образовавшимся после ухода всех иностранных вендоров

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать