Контакты
Подписка 2025

И снова про ZeroTrust: реализуема ли концепция без защиты периметра?

Вячеслав Половинко, 23/01/24

Концепция “нулевого доверия” (ZeroTrust) была впервые сформулирована в 2010 г. и, несмотря на прошествие значительного времени, только-только оформляется в виде референсных архитектур и конкретной практики применения. Рассмотрим ключевые аспекты концепции.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

ris1-Jan-23-2024-11-02-29-8625-AM

Опорой новой модели стал совершенно иной взгляд на слово "доверие", а именно выведение его из абсолюта. Больше не существует "доверенных" сегментов, пользователей, сетей, ресурсов – есть лишь уровень доверия и градация доверия, которые могут быть присвоены только после определенного набора мероприятий, включающих в себя авторизацию и предполагающих, даже после присвоения, непрерывный контроль на предмет компрометации.

Появление концепции "нулевого доверия" вызвано растущими проблемами в области информационной безопасности, которые в первую очередь связаны с эволюцией конечных точек обработки информации, включающих в себя множество "традиционных" и "нетрадиционных" платформ и устройств – ко вторым вполне можно отнести устройства IoT (Internet Things), SCADA-системы, АСУ ТП, мобильные устройства, инженерные системы. Все эти решения сами по себе часто не предполагают взаимодействия с многочисленными стеками систем информационной безопасности, но несут серьезные угрозы со стороны привилегированных пользователей, а также оставляют желать лучшего с точки зрения реализации так называемых внутренних, "гигиенических", мер защиты ИБ.

В литературе и в экспертном сообществе относительно концепции "нулевого доверия" часто встречаются два относительно противоположных суждения, каждое из которых кажется нам не совсем верным.

1. Концепцию сводят к какому-то одному решению/средству или сильно ограниченному набору решений/средств.

Нет необходимости тратить значительное время на опровержение данного тезиса, достаточно обратиться к тому, как ZeroTrust воспринимается в стандартах, например, регуляторов США. Цитирую: "ZeroTrust поощряет индивидуальный подход к совместной работе, направленной на постоянное совершенствование, в то же время включает в себя лучшие практики, инструменты и методологии, используемые в промышленности".

В референсных архитектурах (в рамках ZeroTrust), предлагаемых на зарубежных рынках регуляторами, экспертным сообществом, прямо говорится: "Интегрированные наборы продуктов, предлагаемые поставщиками, а не отдельные компоненты, будут способствовать снижению стоимости и рисков..."

2. Концепцию противопоставляют какому-то одному решению/средству.

Что касается противопоставления концепции "нулевого доверия" какомуто одному решению, то здесь следует рассмотреть следующую позицию. В общем виде она может быть сформулирована так: "Так как в основе концепции ZeroTrust лежит смещение защиты со статических сетевых периметров на пользователей и ресурсы, а само "нулевое доверие" предполагает, что не существует явного доверия к активам или учетным записям пользователей, основанного только на их физическом или сетевом расположении (то есть, например, локальные сети по сравнению с Интернетом) или на основе владения активами (корпоративными или личными), то сама защита периметра потеряла (теряет) свою актуальность".

Фактически сторонники данного подхода в конце концов встают на позицию, которая ближе к первому суждению – "свести концепцию к одному решению или строго ограниченному набору решений", а далее начинают критиковать выбранное решение, например: неэффективность МСЭ как класса средств защиты в рамках концепции ZeroTrust, неприменимость диодов данных для решения задач по изоляции сети в случае, если вы придерживаетесь стратегии ZeroTrust, отсутствие необходимости применять на практике термины "недоверенные", "доверенные" и "менее доверенные" сегменты и ресурсы и т.п.

В общем виде данная позиция даже может показаться логичной, но только до тех пор, пока не берется в расчет тот факт, что сама концепция ZeroTrust никак не исключает средства защиты периметра, средства защиты рабочих мест или деление сетей и ресурсов на более и менее "доверенные". Более того – концепция ZeroTrust прямо декларирует необходимость всех этих элементов как составной части комплексной эшелонированной системы защиты. Просто сама система защиты в рамках данной концепции "строится" более не от термина "доверие", а от термина "недоверие", поэтому и традиционная поговорка "Доверяй, но проверяй" неприменима в концепции ZeroTrust и уступила место новой: никогда не доверяй – всегда проверяй. Как следствие, указанный выше тезис если и может показаться логически верным, то лишь временно. Если мы метафорически переформулируем этот тезис, например, так: раз мы перешли к более комплексной системе видеонаблюдения в городской инфраструктуре, то дверные замки в наших квартирах нам более не требуются, – он вызовет разве что удивление.

Чем точно не является концепция ZeroTrust

  • Не является запретительной стратегией (по типу "все запретить и изолировать"), призванной построить систему запретов и барьеров. ZeroTrust детализирует уровень применения контроля привилегий сотрудников, сетей, ресурсов и исключает абсолютизацию привилегий саму по себе.
  • Не является готовым фреймворком, который быстро применим в организации в течение крайне ограниченного времени. Представляет из себя скорее долгосрочную концепцию целеполагания в области кибербезопасности. Срок перехода к конкретным практическим и комплексным мерам в рамках этой стратегии (то есть срок, когда архитектура ИБ и систем в целом может быть оценена на предмет соответствия концепции ZeroTrust) на примере опубликованных референсных архитектур составляет два года и более.
  • Не является революционной стратегией, предполагающей коренной перелом в осмыслении всей системы защиты. Скорее, является эволюционным решением, которое логически вытекает из значительно возросшего количества кибератак в силу постоянного роста распространенности сетевых технологий и средств обмена информацией; роста сложности и изощренности наблюдаемых киберугроз, уже реализовавшихся на практике; малой эффективности ранее доминирующей стратегии defense-in-depth против хорошо подготовленных и "оснащенных" злоумышленников и ее низкой эффективности для борьбы с внутренними угрозами.

В концепции ZeroTrust только лишь усиленная защита периметра организации уже не может быть эффективным средством обеспечения безопасности. Любая вновь внедряемая система безопасности (как комплекс) должна быть устойчива к эволюционирующим угрозам и эффективно локализовывать как внутренние, так и внешние векторы атак.

С точки зрения конечных пользователей (специалистов ИБ и не только), внедрение практик и архитектур ZeroTrust позволяет улучшить видимость защищаемой инфраструктуры, обеспечить контроль и анализ рисков, связанных с использованием инфраструктуры, приложений и данных.

Создание предпосылок для ZeroTrust

Стоит выделить концептуальные аспекты, на которых базируется реализация мер ZeroTrust и которые часто упускают в попытке сразу перейти к внедрению конкретных решений.

Модернизация существующей информационной инфраструктуры, которая (в особенности у крупных предприятий) развивалась в течение длительного времени и часто представляет собой разрозненный набор часто несовместимых решений и компонент.

Упрощение информационной архитектуры, и архитектуры безопасности. Фрагментарный подход к информационным технологиям и кибербезопасности привел к чрезмерной технической сложности, создавая уязвимости в комплексной защите организаций, неадекватному сроку локализации и устранения угроз, высоким трудозатратам поиска проблем в области ИБ. Избыточная сложность часто приводит к неявному стимулированию использования несанкционированных и небезопасных технологий персоналом.

Наличие явно определенной политики ИБ, четко согласующейся с целями организации. Транзитивность политики ИБ до всех систем, данных, ресурсов и сервисов. Отсутствие задокументированной лаконичной политики ИБ, согласованной с целями организации, часто служит препятствием в выборе конкретных решений, порождает экономическую неэффективность принимаемых управленческих решений в процессе модернизации систем информационной безопасности организации.

Формирование четких стандартов обмена данными и хранения данных, позволяющих использовать данные в целях роста непрерывности функционирования бизнеса, принятия эффективных управленческих решений. Широкое распространение удаленной работы, внедрение облачных вычислений привели к перемещению данных за пределы традиционных мест хранения и обработки, в том числе к их размещению в сторонних промышленных и пользовательских средах. Однако в настоящий момент все чаще встречаются проблемы совместимости между приложениями, сторонними организациями, внешними партнерами, в том числе сами системы ИБ становятся ограничивающим фактором применения облачных вычислений, аналитики данных, машинного обучения и искусственного интеллекта, что не может являться приемлемой долгосрочной стратегией.

Внедрение систем непрерывной многофакторной авторизации, которые призваны упростить возможности при перемещении субъектов между сетями и сегментами с разными уровнями доверия и доступа. Отсутствие практических решений контроля прав и привилегий субъектов при перемещении этих субъектов между сегментами с разным уровнем доверия может являться серьезным препятствием в верификации конкретных привилегий доступа к сервисам, данным и приложениям. Акцент в данном направлении сделан не на многофакторной авторизации как таковой, а на реализации аспектов ее непрерывности.

На более низком уровне архитектуры ZeroTrust базируются, как уже было отмечено, на "непрерывной" многофакторной аутентификации, а также на микросегментации, шифровании данных, защите конечных точек обработки информации и серверной инфраструктуры, автоматизации процессов ИБ, их оркестрации, аналитике и надежном аудите данных, приложений, активов, сервисов (Data, Application, Assets, Services), активном применении DCAP-, DLP-, SIEM-систем, SDN-сетей, внедрении в практику эталонных точек доступа, диодов данных и физической сегментации сетей, средств поведенческого анализа пользователей.

Заключение

Концепция ZeroTrust, несмотря на ряд достаточно "запретительных постулатов", лежащих в ее основе и часто воспринимаемых "читателем-обывателем" слишком поверхностно, на практике тяготеет к построению скоординированной, "бесшовной", прозрачной и экономически эффективной ИТ-архитектуры. Такая архитектура должна обеспечить надежное выполнение задач перед лицом постоянных киберугроз. ZeroTrust поддерживает подход к кибербезопасности, основанный на постепенной миграции и эволюции текущих систем ИБ, конечным результатом которой является взаимодействующая, полнофункциональная, оптимизированная архитектура кибербезопасности, обеспечивающая безопасность критически важных объектов.

Темы:АМТ-ГРУПZero TrustNGFWЖурнал "Информационная безопасность" №6, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Без паники, интегратор знает путь
    Сергей Мотовилов, операционный директор ООО “Глобал АйТи”
    В России насчитывается как минимум четыре десятка производителей NGFW с широким разбросом функциональных возможностей. Но сложность выбора лежит не только в технической плоскости, но и в адаптации понравившегося решения к задачам бизнеса. В такой ситуации партнерство с системным интегратором, обладающим опытом работы с отечественными продуктами, становится не просто желательной, а необходимой мерой.
  • Отечественные NGFW против зарубежных: стоит ли сравнивать?
    Юрий Лукович, президент АО “ЦИКАДА”
    Центробанк обяжет банки России внедрить передовые технологии защиты инфраструктуры, что станет новым этапом развития для разработчиков программно-аппаратных решений, в том числе в сегменте NGFW. И в ноябре 2024 г. Банк России начал сравнительное тестирование отечественных межсетевых экранов нового поколения. Методика тестирования уже разработана, но пока не опубликована.
  • Новые возможности Ideco NGFW в 2025 году
    Российский рынок NGFW очень активно развивается, разработчики стремятся адаптировать свои продукты под запросы заказчиков, добавляя востребованную функциональность. Важным фактором становится скорость внедрения новых возможностей, которая зачастую играет ключевую роль в конкурентной гонке за симпатии заказчиков.
  • Результаты независимого тестирования NGFW
    Роман Асаев, руководитель группы сетевой безопасности центра информационной безопасности “Инфосистемы Джет”
    В лаборатории компании "Инфосистемы Джет" проводится независимое функциональное и нагрузочное исследования современных решений класса NGFW, представленных на российском рынке.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...