Контакты
Подписка 2024

И снова про ZeroTrust: реализуема ли концепция без защиты периметра?

Вячеслав Половинко, 23/01/24

Концепция “нулевого доверия” (ZeroTrust) была впервые сформулирована в 2010 г. и, несмотря на прошествие значительного времени, только-только оформляется в виде референсных архитектур и конкретной практики применения. Рассмотрим ключевые аспекты концепции.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

ris1-Jan-23-2024-11-02-29-8625-AM

Опорой новой модели стал совершенно иной взгляд на слово "доверие", а именно выведение его из абсолюта. Больше не существует "доверенных" сегментов, пользователей, сетей, ресурсов – есть лишь уровень доверия и градация доверия, которые могут быть присвоены только после определенного набора мероприятий, включающих в себя авторизацию и предполагающих, даже после присвоения, непрерывный контроль на предмет компрометации.

Появление концепции "нулевого доверия" вызвано растущими проблемами в области информационной безопасности, которые в первую очередь связаны с эволюцией конечных точек обработки информации, включающих в себя множество "традиционных" и "нетрадиционных" платформ и устройств – ко вторым вполне можно отнести устройства IoT (Internet Things), SCADA-системы, АСУ ТП, мобильные устройства, инженерные системы. Все эти решения сами по себе часто не предполагают взаимодействия с многочисленными стеками систем информационной безопасности, но несут серьезные угрозы со стороны привилегированных пользователей, а также оставляют желать лучшего с точки зрения реализации так называемых внутренних, "гигиенических", мер защиты ИБ.

В литературе и в экспертном сообществе относительно концепции "нулевого доверия" часто встречаются два относительно противоположных суждения, каждое из которых кажется нам не совсем верным.

1. Концепцию сводят к какому-то одному решению/средству или сильно ограниченному набору решений/средств.

Нет необходимости тратить значительное время на опровержение данного тезиса, достаточно обратиться к тому, как ZeroTrust воспринимается в стандартах, например, регуляторов США. Цитирую: "ZeroTrust поощряет индивидуальный подход к совместной работе, направленной на постоянное совершенствование, в то же время включает в себя лучшие практики, инструменты и методологии, используемые в промышленности".

В референсных архитектурах (в рамках ZeroTrust), предлагаемых на зарубежных рынках регуляторами, экспертным сообществом, прямо говорится: "Интегрированные наборы продуктов, предлагаемые поставщиками, а не отдельные компоненты, будут способствовать снижению стоимости и рисков..."

2. Концепцию противопоставляют какому-то одному решению/средству.

Что касается противопоставления концепции "нулевого доверия" какомуто одному решению, то здесь следует рассмотреть следующую позицию. В общем виде она может быть сформулирована так: "Так как в основе концепции ZeroTrust лежит смещение защиты со статических сетевых периметров на пользователей и ресурсы, а само "нулевое доверие" предполагает, что не существует явного доверия к активам или учетным записям пользователей, основанного только на их физическом или сетевом расположении (то есть, например, локальные сети по сравнению с Интернетом) или на основе владения активами (корпоративными или личными), то сама защита периметра потеряла (теряет) свою актуальность".

Фактически сторонники данного подхода в конце концов встают на позицию, которая ближе к первому суждению – "свести концепцию к одному решению или строго ограниченному набору решений", а далее начинают критиковать выбранное решение, например: неэффективность МСЭ как класса средств защиты в рамках концепции ZeroTrust, неприменимость диодов данных для решения задач по изоляции сети в случае, если вы придерживаетесь стратегии ZeroTrust, отсутствие необходимости применять на практике термины "недоверенные", "доверенные" и "менее доверенные" сегменты и ресурсы и т.п.

В общем виде данная позиция даже может показаться логичной, но только до тех пор, пока не берется в расчет тот факт, что сама концепция ZeroTrust никак не исключает средства защиты периметра, средства защиты рабочих мест или деление сетей и ресурсов на более и менее "доверенные". Более того – концепция ZeroTrust прямо декларирует необходимость всех этих элементов как составной части комплексной эшелонированной системы защиты. Просто сама система защиты в рамках данной концепции "строится" более не от термина "доверие", а от термина "недоверие", поэтому и традиционная поговорка "Доверяй, но проверяй" неприменима в концепции ZeroTrust и уступила место новой: никогда не доверяй – всегда проверяй. Как следствие, указанный выше тезис если и может показаться логически верным, то лишь временно. Если мы метафорически переформулируем этот тезис, например, так: раз мы перешли к более комплексной системе видеонаблюдения в городской инфраструктуре, то дверные замки в наших квартирах нам более не требуются, – он вызовет разве что удивление.

Чем точно не является концепция ZeroTrust

  • Не является запретительной стратегией (по типу "все запретить и изолировать"), призванной построить систему запретов и барьеров. ZeroTrust детализирует уровень применения контроля привилегий сотрудников, сетей, ресурсов и исключает абсолютизацию привилегий саму по себе.
  • Не является готовым фреймворком, который быстро применим в организации в течение крайне ограниченного времени. Представляет из себя скорее долгосрочную концепцию целеполагания в области кибербезопасности. Срок перехода к конкретным практическим и комплексным мерам в рамках этой стратегии (то есть срок, когда архитектура ИБ и систем в целом может быть оценена на предмет соответствия концепции ZeroTrust) на примере опубликованных референсных архитектур составляет два года и более.
  • Не является революционной стратегией, предполагающей коренной перелом в осмыслении всей системы защиты. Скорее, является эволюционным решением, которое логически вытекает из значительно возросшего количества кибератак в силу постоянного роста распространенности сетевых технологий и средств обмена информацией; роста сложности и изощренности наблюдаемых киберугроз, уже реализовавшихся на практике; малой эффективности ранее доминирующей стратегии defense-in-depth против хорошо подготовленных и "оснащенных" злоумышленников и ее низкой эффективности для борьбы с внутренними угрозами.

В концепции ZeroTrust только лишь усиленная защита периметра организации уже не может быть эффективным средством обеспечения безопасности. Любая вновь внедряемая система безопасности (как комплекс) должна быть устойчива к эволюционирующим угрозам и эффективно локализовывать как внутренние, так и внешние векторы атак.

С точки зрения конечных пользователей (специалистов ИБ и не только), внедрение практик и архитектур ZeroTrust позволяет улучшить видимость защищаемой инфраструктуры, обеспечить контроль и анализ рисков, связанных с использованием инфраструктуры, приложений и данных.

Создание предпосылок для ZeroTrust

Стоит выделить концептуальные аспекты, на которых базируется реализация мер ZeroTrust и которые часто упускают в попытке сразу перейти к внедрению конкретных решений.

Модернизация существующей информационной инфраструктуры, которая (в особенности у крупных предприятий) развивалась в течение длительного времени и часто представляет собой разрозненный набор часто несовместимых решений и компонент.

Упрощение информационной архитектуры, и архитектуры безопасности. Фрагментарный подход к информационным технологиям и кибербезопасности привел к чрезмерной технической сложности, создавая уязвимости в комплексной защите организаций, неадекватному сроку локализации и устранения угроз, высоким трудозатратам поиска проблем в области ИБ. Избыточная сложность часто приводит к неявному стимулированию использования несанкционированных и небезопасных технологий персоналом.

Наличие явно определенной политики ИБ, четко согласующейся с целями организации. Транзитивность политики ИБ до всех систем, данных, ресурсов и сервисов. Отсутствие задокументированной лаконичной политики ИБ, согласованной с целями организации, часто служит препятствием в выборе конкретных решений, порождает экономическую неэффективность принимаемых управленческих решений в процессе модернизации систем информационной безопасности организации.

Формирование четких стандартов обмена данными и хранения данных, позволяющих использовать данные в целях роста непрерывности функционирования бизнеса, принятия эффективных управленческих решений. Широкое распространение удаленной работы, внедрение облачных вычислений привели к перемещению данных за пределы традиционных мест хранения и обработки, в том числе к их размещению в сторонних промышленных и пользовательских средах. Однако в настоящий момент все чаще встречаются проблемы совместимости между приложениями, сторонними организациями, внешними партнерами, в том числе сами системы ИБ становятся ограничивающим фактором применения облачных вычислений, аналитики данных, машинного обучения и искусственного интеллекта, что не может являться приемлемой долгосрочной стратегией.

Внедрение систем непрерывной многофакторной авторизации, которые призваны упростить возможности при перемещении субъектов между сетями и сегментами с разными уровнями доверия и доступа. Отсутствие практических решений контроля прав и привилегий субъектов при перемещении этих субъектов между сегментами с разным уровнем доверия может являться серьезным препятствием в верификации конкретных привилегий доступа к сервисам, данным и приложениям. Акцент в данном направлении сделан не на многофакторной авторизации как таковой, а на реализации аспектов ее непрерывности.

На более низком уровне архитектуры ZeroTrust базируются, как уже было отмечено, на "непрерывной" многофакторной аутентификации, а также на микросегментации, шифровании данных, защите конечных точек обработки информации и серверной инфраструктуры, автоматизации процессов ИБ, их оркестрации, аналитике и надежном аудите данных, приложений, активов, сервисов (Data, Application, Assets, Services), активном применении DCAP-, DLP-, SIEM-систем, SDN-сетей, внедрении в практику эталонных точек доступа, диодов данных и физической сегментации сетей, средств поведенческого анализа пользователей.

Заключение

Концепция ZeroTrust, несмотря на ряд достаточно "запретительных постулатов", лежащих в ее основе и часто воспринимаемых "читателем-обывателем" слишком поверхностно, на практике тяготеет к построению скоординированной, "бесшовной", прозрачной и экономически эффективной ИТ-архитектуры. Такая архитектура должна обеспечить надежное выполнение задач перед лицом постоянных киберугроз. ZeroTrust поддерживает подход к кибербезопасности, основанный на постепенной миграции и эволюции текущих систем ИБ, конечным результатом которой является взаимодействующая, полнофункциональная, оптимизированная архитектура кибербезопасности, обеспечивающая безопасность критически важных объектов.

Темы:АМТ-ГРУПZero TrustNGFWЖурнал "Информационная безопасность" №6, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Экосистемы ИБ-решений в России: типы и уровни зрелости
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Стимулируемые рынком и требованиями регуляторов производители СЗИ и иных классов решений движутся к формированию устойчивых и проверенных типовых архитектур и экосистем, которые приходят на замену архитектурам, предлагавшимся рынку зарубежными вендорами в период их активного присутствия.
  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...