И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
Вячеслав Половинко, 23/01/24
Концепция “нулевого доверия” (ZeroTrust) была впервые сформулирована в 2010 г. и, несмотря на прошествие значительного времени, только-только оформляется в виде референсных архитектур и конкретной практики применения. Рассмотрим ключевые аспекты концепции.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Опорой новой модели стал совершенно иной взгляд на слово "доверие", а именно выведение его из абсолюта. Больше не существует "доверенных" сегментов, пользователей, сетей, ресурсов – есть лишь уровень доверия и градация доверия, которые могут быть присвоены только после определенного набора мероприятий, включающих в себя авторизацию и предполагающих, даже после присвоения, непрерывный контроль на предмет компрометации.
Появление концепции "нулевого доверия" вызвано растущими проблемами в области информационной безопасности, которые в первую очередь связаны с эволюцией конечных точек обработки информации, включающих в себя множество "традиционных" и "нетрадиционных" платформ и устройств – ко вторым вполне можно отнести устройства IoT (Internet Things), SCADA-системы, АСУ ТП, мобильные устройства, инженерные системы. Все эти решения сами по себе часто не предполагают взаимодействия с многочисленными стеками систем информационной безопасности, но несут серьезные угрозы со стороны привилегированных пользователей, а также оставляют желать лучшего с точки зрения реализации так называемых внутренних, "гигиенических", мер защиты ИБ.
В литературе и в экспертном сообществе относительно концепции "нулевого доверия" часто встречаются два относительно противоположных суждения, каждое из которых кажется нам не совсем верным.
1. Концепцию сводят к какому-то одному решению/средству или сильно ограниченному набору решений/средств.
Нет необходимости тратить значительное время на опровержение данного тезиса, достаточно обратиться к тому, как ZeroTrust воспринимается в стандартах, например, регуляторов США. Цитирую: "ZeroTrust поощряет индивидуальный подход к совместной работе, направленной на постоянное совершенствование, в то же время включает в себя лучшие практики, инструменты и методологии, используемые в промышленности".
В референсных архитектурах (в рамках ZeroTrust), предлагаемых на зарубежных рынках регуляторами, экспертным сообществом, прямо говорится: "Интегрированные наборы продуктов, предлагаемые поставщиками, а не отдельные компоненты, будут способствовать снижению стоимости и рисков..."
2. Концепцию противопоставляют какому-то одному решению/средству.
Что касается противопоставления концепции "нулевого доверия" какомуто одному решению, то здесь следует рассмотреть следующую позицию. В общем виде она может быть сформулирована так: "Так как в основе концепции ZeroTrust лежит смещение защиты со статических сетевых периметров на пользователей и ресурсы, а само "нулевое доверие" предполагает, что не существует явного доверия к активам или учетным записям пользователей, основанного только на их физическом или сетевом расположении (то есть, например, локальные сети по сравнению с Интернетом) или на основе владения активами (корпоративными или личными), то сама защита периметра потеряла (теряет) свою актуальность".
Фактически сторонники данного подхода в конце концов встают на позицию, которая ближе к первому суждению – "свести концепцию к одному решению или строго ограниченному набору решений", а далее начинают критиковать выбранное решение, например: неэффективность МСЭ как класса средств защиты в рамках концепции ZeroTrust, неприменимость диодов данных для решения задач по изоляции сети в случае, если вы придерживаетесь стратегии ZeroTrust, отсутствие необходимости применять на практике термины "недоверенные", "доверенные" и "менее доверенные" сегменты и ресурсы и т.п.
В общем виде данная позиция даже может показаться логичной, но только до тех пор, пока не берется в расчет тот факт, что сама концепция ZeroTrust никак не исключает средства защиты периметра, средства защиты рабочих мест или деление сетей и ресурсов на более и менее "доверенные". Более того – концепция ZeroTrust прямо декларирует необходимость всех этих элементов как составной части комплексной эшелонированной системы защиты. Просто сама система защиты в рамках данной концепции "строится" более не от термина "доверие", а от термина "недоверие", поэтому и традиционная поговорка "Доверяй, но проверяй" неприменима в концепции ZeroTrust и уступила место новой: никогда не доверяй – всегда проверяй. Как следствие, указанный выше тезис если и может показаться логически верным, то лишь временно. Если мы метафорически переформулируем этот тезис, например, так: раз мы перешли к более комплексной системе видеонаблюдения в городской инфраструктуре, то дверные замки в наших квартирах нам более не требуются, – он вызовет разве что удивление.
Чем точно не является концепция ZeroTrust
- Не является запретительной стратегией (по типу "все запретить и изолировать"), призванной построить систему запретов и барьеров. ZeroTrust детализирует уровень применения контроля привилегий сотрудников, сетей, ресурсов и исключает абсолютизацию привилегий саму по себе.
- Не является готовым фреймворком, который быстро применим в организации в течение крайне ограниченного времени. Представляет из себя скорее долгосрочную концепцию целеполагания в области кибербезопасности. Срок перехода к конкретным практическим и комплексным мерам в рамках этой стратегии (то есть срок, когда архитектура ИБ и систем в целом может быть оценена на предмет соответствия концепции ZeroTrust) на примере опубликованных референсных архитектур составляет два года и более.
- Не является революционной стратегией, предполагающей коренной перелом в осмыслении всей системы защиты. Скорее, является эволюционным решением, которое логически вытекает из значительно возросшего количества кибератак в силу постоянного роста распространенности сетевых технологий и средств обмена информацией; роста сложности и изощренности наблюдаемых киберугроз, уже реализовавшихся на практике; малой эффективности ранее доминирующей стратегии defense-in-depth против хорошо подготовленных и "оснащенных" злоумышленников и ее низкой эффективности для борьбы с внутренними угрозами.
В концепции ZeroTrust только лишь усиленная защита периметра организации уже не может быть эффективным средством обеспечения безопасности. Любая вновь внедряемая система безопасности (как комплекс) должна быть устойчива к эволюционирующим угрозам и эффективно локализовывать как внутренние, так и внешние векторы атак.
С точки зрения конечных пользователей (специалистов ИБ и не только), внедрение практик и архитектур ZeroTrust позволяет улучшить видимость защищаемой инфраструктуры, обеспечить контроль и анализ рисков, связанных с использованием инфраструктуры, приложений и данных.
Создание предпосылок для ZeroTrust
Стоит выделить концептуальные аспекты, на которых базируется реализация мер ZeroTrust и которые часто упускают в попытке сразу перейти к внедрению конкретных решений.
Модернизация существующей информационной инфраструктуры, которая (в особенности у крупных предприятий) развивалась в течение длительного времени и часто представляет собой разрозненный набор часто несовместимых решений и компонент.
Упрощение информационной архитектуры, и архитектуры безопасности. Фрагментарный подход к информационным технологиям и кибербезопасности привел к чрезмерной технической сложности, создавая уязвимости в комплексной защите организаций, неадекватному сроку локализации и устранения угроз, высоким трудозатратам поиска проблем в области ИБ. Избыточная сложность часто приводит к неявному стимулированию использования несанкционированных и небезопасных технологий персоналом.
Наличие явно определенной политики ИБ, четко согласующейся с целями организации. Транзитивность политики ИБ до всех систем, данных, ресурсов и сервисов. Отсутствие задокументированной лаконичной политики ИБ, согласованной с целями организации, часто служит препятствием в выборе конкретных решений, порождает экономическую неэффективность принимаемых управленческих решений в процессе модернизации систем информационной безопасности организации.
Формирование четких стандартов обмена данными и хранения данных, позволяющих использовать данные в целях роста непрерывности функционирования бизнеса, принятия эффективных управленческих решений. Широкое распространение удаленной работы, внедрение облачных вычислений привели к перемещению данных за пределы традиционных мест хранения и обработки, в том числе к их размещению в сторонних промышленных и пользовательских средах. Однако в настоящий момент все чаще встречаются проблемы совместимости между приложениями, сторонними организациями, внешними партнерами, в том числе сами системы ИБ становятся ограничивающим фактором применения облачных вычислений, аналитики данных, машинного обучения и искусственного интеллекта, что не может являться приемлемой долгосрочной стратегией.
Внедрение систем непрерывной многофакторной авторизации, которые призваны упростить возможности при перемещении субъектов между сетями и сегментами с разными уровнями доверия и доступа. Отсутствие практических решений контроля прав и привилегий субъектов при перемещении этих субъектов между сегментами с разным уровнем доверия может являться серьезным препятствием в верификации конкретных привилегий доступа к сервисам, данным и приложениям. Акцент в данном направлении сделан не на многофакторной авторизации как таковой, а на реализации аспектов ее непрерывности.
На более низком уровне архитектуры ZeroTrust базируются, как уже было отмечено, на "непрерывной" многофакторной аутентификации, а также на микросегментации, шифровании данных, защите конечных точек обработки информации и серверной инфраструктуры, автоматизации процессов ИБ, их оркестрации, аналитике и надежном аудите данных, приложений, активов, сервисов (Data, Application, Assets, Services), активном применении DCAP-, DLP-, SIEM-систем, SDN-сетей, внедрении в практику эталонных точек доступа, диодов данных и физической сегментации сетей, средств поведенческого анализа пользователей.
Заключение
Концепция ZeroTrust, несмотря на ряд достаточно "запретительных постулатов", лежащих в ее основе и часто воспринимаемых "читателем-обывателем" слишком поверхностно, на практике тяготеет к построению скоординированной, "бесшовной", прозрачной и экономически эффективной ИТ-архитектуры. Такая архитектура должна обеспечить надежное выполнение задач перед лицом постоянных киберугроз. ZeroTrust поддерживает подход к кибербезопасности, основанный на постепенной миграции и эволюции текущих систем ИБ, конечным результатом которой является взаимодействующая, полнофункциональная, оптимизированная архитектура кибербезопасности, обеспечивающая безопасность критически важных объектов.