Zero Trust. Защита начинается с недоверия
Подход Zero Trust Network Access («Нулевое доверие») произвел революцию в современной информационной безопасности, полностью изменив традиционную парадигму защиты корпоративного периметра. Никому не доверять и все проверять люди научились еще в древности, но в ИБ эта модель безопасности была сформулирована экс-аналитиком Forrester Джоном Киндервагом в 2010 году. Данная концепция предполагает, что угрозы могут исходить как извне, так и изнутри организации. В рамках Zero Trust все пользователи, устройства и сетевые взаимодействия рассматриваются как потенциально опасные и требуют постоянной верификации. Ключевым аспектом является предоставление минимальных привилегий — пользователи получают доступ только к тем ресурсам, которые абсолютно необходимы для выполнения их работы. Многофакторная аутентификация стала обязательным элементом, обеспечивая дополнительный уровень проверки подлинности. Важную роль играет микросегментация сети, при которой инфраструктура разделяется на небольшие изолированные сегменты. Это значительно затрудняет распространение угроз в случае компрометации. Постоянный мониторинг и анализ позволяют оперативно выявлять аномалии и реагировать на инциденты.
Внедрение Zero Trust дает организациям ряд преимуществ: повышенный уровень безопасности, качественную защиту от внутренних и внешних угроз, более эффективное управление доступом. Однако у этого подхода есть и определенные недостатки — сложность внедрения, возможное снижение удобства для пользователей, необходимость значительных инвестиций в инфраструктуру и обучение персонала. Несмотря на эти сложности, Zero Trust считается наиболее передовым подходом к обеспечению кибербезопасности, особенно актуальным в условиях распределенных сетей и удаленной работы. Он позволяет организациям лучше противостоять современным киберугрозам и соответствовать строгим требованиям регуляторов. Переход на модель Zero Trust предполагает пересмотр существующих процессов и политик безопасности, но в долгосрочной перспективе обеспечивает более надежную защиту корпоративных данных и ИТ-инфраструктуры.
Мы попросили ведущих ИБ-экспертов поделиться мнением о достоинствах и недостатках Zero Trust,о сложностях перевода на этот метод корпоративной инфраструктуры и пользователей.
Не продукт, а концепция
«Zero Trust Network Access — это, прежде всего, концепция. Она не способна решить все проблемы разом, но формирует правильную структуру и логику при построении ИБ, а также позволяет систематизировать подход. Она описывает набор конкретных инструментов, использование которых позволяет предотвращать и минимизировать потери от киберинцидентов», — отмечает Валерий Даровских, менеджер по продукту UserGate Client компании UserGate.
«Zero Trust позволяет повысить уровень безопасности. Решения помогают контролировать установленное ПО и запущенные процессы на автоматизированных рабочих местах и серверах, предоставляя минимальный сетевой доступ к целевым системам», — добавляет Артем Туренок, руководитель отдела технических решений компании «ДиалогНаука».
По мнению Ольги Поповой, ведущего юриста Staffcorp компании «Атом Безопасность» (входит в ГК «СКБ Контур»), подход Zero Trust стал основой для повышения уровня безопасности, так как предполагает проверку каждого запроса и действий пользователей, что снижает риски и минимизирует вероятность компрометации. Он эффективно защищает, прежде всего, от инсайдерских угроз и сторонних атак, укрепляет контроль на всех уровнях взаимодействия с системой.
В целом, опрошенные эксперты сходятся во мнении, что, подход Zero Trust значительно повышает уровень безопасности и помогает организациям лучше справляться с современными киберугрозами. Он становится все более важным в условиях растущего числа и сложности кибератак.
Вячеслав Новоселов, генеральный директор компании SkyDNS, рассказывает о модели безопасности Zero Trust, которая действует по принципу: «Никому не доверяй, всё проверяй». Он отмечает, что эта модель исходит из предположения, что сеть постоянно подвержена как внешним, так и внутренним угрозам. Поэтому Zero Trust требует непрерывной аутентификации и авторизации для доступа к ресурсам. Эксперт считает, что в отличие от традиционных подходов Zero Trust может стать мощным инструментом для повышения уровня безопасности корпоративной сети. По его словам, модель обеспечивает более быстрое обнаружение угроз благодаря сегментации сети и минимизации прав доступа. Это, в свою очередь, потенциально уменьшает ущерб от атак на периметр безопасности. Кроме того, Zero Trust защищает не только от внешних, но и от внутренних угроз. Вячеслав подчеркивает, что модель ограничивает сотрудников от злоупотребления правами доступа к важным данным.
ИБ работает по-новому
Что касается влияния Zero Trust на архитектуру сетевой безопасности, можно сказать, что он несет достаточно радикальные перемены. Распространение удаленной и гибридной модели работы говорит о том, что традиционная защита, действующая только в рамках периметра корпоративной сети, уже устарела. Каждый запрос проверяется, независимо от того, откуда он поступает — из корпоративной сети или из Австралии, например. Пользователям и устройствам предоставляется минимально необходимый уровень доступа, при этом права доступа постоянно пересматриваются и корректируются. Многофакторная аутентификация используется повсеместно для проверки подлинности пользователей, при этом комбинируются различные факторы (пароли, токены, биометрия и т. д.).
«Zero Trust великолепно сочетается с гибридной моделью инфраструктуры, — утверждает Алексей Хмельницкий, генеральный директор компании RooX. — В Zero Trust мы фокусируемся не на территориальной защите периметра, а на проверке и контроле каждого доступа к ресурсам. Сетевому контуру мы не доверяем, а следовательно, уже неважно, где будут проходить сетевые границы. Соответственно, мы можем сочетать on-premise, облака и частные облака».
Вячеслав Новоселов (SkyDNS) считает, что концепция Zero Trust может значительно изменить подход к сетевой безопасности. Для этого необходимо внедрение NGFW (нового поколения межсетевых экранов), которые сегментируют сеть на изолированные зоны с минимальными привилегиями и обеспечивают глубокий анализ сетевого трафика для выявления аномалий. Однако, по его мнению, только NGFW может быть недостаточно, поэтому важно также внедрить DNS-защиту для усиления безопасности на базовом уровне. Кроме того, требуется разработка политики корпоративного доступа ко всем внутренним ресурсам компании. Не менее важно внедрение систем идентификации и управления доступом, а также отпечатком устройства, что включает постоянную аутентификацию пользователей с помощью многофакторной аутентификации (MFA).
Ольга Попова («Атом Безопасность») полагает, что Zero Trust требует более строгого контроля на всех уровнях инфраструктуры, включая сетевую безопасность и управление доступом. Архитектура становится более сегментированной и изолированной, что в итоге улучшает защиту и управляемость. Она отмечает, что внедрение принципов Zero Trust необходимо учитывать не только при эксплуатации, но и при разработке программного обеспечения.
Изменение политик и процессов
Для успешного перехода на модель Zero Trust необходимо внести существенные изменения в политики и процессы безопасности. Виталий Даровских (UserGate) говорит, что для понимания того, куда двигаться, необходимо сначала осознать, где мы находимся. Он считает, что грамотно построенная система информационной безопасности в своей основе опирается на те же принципы, что и модель Zero Trust. Поэтому, по его словам, некоторым даже не придется ничего менять, даже если они раньше не слышали об этой модели. Для других же она может стать откровением. Виталий подчеркивает, что универсального решения не существует. «Есть подходы, которые каждый специалист реализует в меру своего профессионализма и знаний», — говорит он. По его мнению, Zero Trust позволяет систематизировать эти подходы и указать направление для развития и работы.
Вячеслав Новоселов (SkyDNS) утверждает, что для успешного перехода на модель Zero Trust необходимо выполнить несколько ключевых шагов. Во-первых, требуется провести полную инвентаризацию ИТ-системы компании, чтобы определить объекты защиты и установить их приоритетность. Во-вторых, он подчеркивает важность предоставления каждому устройству доступа только к тем ресурсам, которые нужны для выполнения его функций. «Кроме того, необходимо регулярно пересматривать права доступа и отзывать неактуальные», — добавляет Вячеслав. Третьим шагом является внедрение многофакторной аутентификации (MFA), что поможет минимизировать риск несанкционированного доступа к важным активам компании. Вячеслав также отмечает необходимость сверки отпечатка устройства, с которого пользователь входит в систему. Далее эксперт рекомендует разделить сеть на сегменты с различными уровнями доступа, что может существенно снизить риск горизонтального перемещения злоумышленников. «Если один сегмент пострадает, остальные останутся защищенными», — поясняет он.
«Zero Trust — это не продукт, который можно просто установить и забыть, это стратегия. Она может потребовать изменения корпоративной культуры, так что одним из важных пунктов я назову обучение сотрудников и популяризацию идеи. Люди должны понимать важность новых процессов, они должны иметь для них личную ценность», — добавляет Алексей Хмельницкий (RooX).
Включение Zero Trust в ИБ-инфраструктуру
Интеграция Zero Trust в корпоративную архитектуру ИБ — стратегический шаг, требующий комплексного подхода и вовлечения различных подразделений организации. Необходимыми шагами здесь являются: оценка текущих процессов и инструментов; разработка стратегии по переходу Zero Trust и четкого плана внедрения; введение правил строгой идентификации и аутентификации; реализация принципа минимальных привилегий; постоянный мониторинг и анализ нештатных ситуаций и защита конечных точек и устройств. Эксперты также поделились советами и рекомендациями на этот счет. Виталий Даровских (UserGate) говорит о том, что концепция Zero Trust представляет собой комплекс продуктов. Он подчеркивает, что можно выбрать инструменты от различных вендоров для реализации этой концепции, но возникает вопрос, как они будут взаимодействовать между собой. Виталий отмечает, что хотя между компаниями может существовать договор о технологическом партнерстве, не всегда удается передать необходимые функции через API. Эксперт утверждает, что комплекс решений по обеспечению «нулевого доверия» от одного вендора является удобным и выгодным для заказчика. Он считает, что это позволяет сократить расходы на оплату труда сотрудников и организовать техподдержку в режиме «одного окна».
Артем Туренок («ДиалогНаука») отмечает, что на российском рынке сейчас представлено несколько решений класса Zero Trust. Он подчеркивает важность анализа используемого заказчиком сетевого оборудования, типов операционных систем, серверов и автоматизированных рабочих мест для выбора оптимального решения. По его словам, некоторые из этих решений обеспечивают интеграцию только со своей продукцией, что ограничивает функциональность. Однако Артем также добавляет, что специализированные решения предлагают возможность интеграции с различными устройствами, такими как межсетевые экраны и коммутаторы, и позволяют создавать собственные скрипты проверок.
Влияние на пользователей
Внедрение модели Zero Trust может существенно повлиять на пользовательский опыт и продуктивность сотрудников в организации, как в положительную, так и в отрицательную сторону. Ключевым аспектом является правильная настройка системы и обучение сотрудников, чтобы минимизировать потенциальные негативные эффекты и максимально использовать преимущества модели. Ольга Попова («Атом Безопасность») считает, что концепция Zero Trust дисциплинирует сотрудников, предоставляя им доступ только к тем ресурсам, которые необходимы для выполнения их обязанностей. Она отмечает, что на начальных этапах это может вызвать некоторое неудобство, однако в долгосрочной перспективе такая система позволяет защитить данные и улучшить общую информационную безопасность. По словам Ольги, сотрудники постепенно адаптируются к новым условиям работы и начинают осознавать важность соблюдения правил доступа.
Алексей Хмельницкий (RooX) утверждает, что подход Zero Trust аналогичен организации доступа клиентов, отмечая, что в части клиентского доступа уже существует множество наработок для обеспечения хорошего пользовательского опыта. Алексей приводит примеры таких наработок: банковские онлайн-сервисы, интернет-покупки, электронные медкарты и государственные сервисы. По его мнению, учиться нужно именно у них. Эксперт рекомендует использовать портал приложений, который служит единой точкой входа ко всем рабочим приложениям сотрудника. Он подчеркивает, что это освобождает сотрудников от необходимости запоминать множество учетных данных, так как все приложения располагаются на одной странице, где можно организовать поиск и выделить часто используемые приложения. Алексей обращает внимание и на аспекты безопасности, отмечая, что перечень доступных приложений формируется автоматически и индивидуально для каждого пользователя на основе его полномочий. Он добавляет, что политики доступа могут быть построены как по ролевой (RBAC), так и по атрибутной (ABAC) модели.
Какие различия ощущают пользователи при переходе с традиционной модели безопасности на Zero Trust? Ольга Попова («Атом Безопасность») отмечает, что при переходе на Zero Trust наблюдается увеличение количества запросов на доступ. Она поясняет: «Сотрудникам требуется время для адаптации», и указывает, что система требует более строгого контроля, однако предоставляет новые возможности для предотвращения утечек данных и недобросовестных действий со стороны сотрудников. По ее словам, это защищает компанию от внутренних угроз.
Дмитрий Евдокимов, основатель и генеральный директор компании Luntry, напоминает о западном подходе, известном как Cyber-silent culture, или киберустойчивая культура. Он объясняет, что цель безопасности не в том, чтобы предотвратить все инциденты, а в том, чтобы защитить бизнес от тех, которые могут нанести ему вред. Евдокимов говорит: «Если в окружении существует множество уязвимостей, но они не представляют угрозы для бизнеса, служба безопасности выполняет свою работу эффективно». Также он отмечает важность минимизации человеческого фактора в подходе Zero Trust. эксперт подчеркивает, что компании могут потратить множество ресурсов на обучение сотрудника, который вскоре может покинуть компанию. Его преемник будет вынужден заново разбираться в бизнес-процессах, вносить изменения в код и стараться не нарушать работу продакшн-среды. Чтобы избежать подобных ситуаций, Дмитрий рекомендует использовать декларативный подход к безопасности, прописывая политики и проверяя все YAML-ресурсы.
Итак, переход на Zero Trust — задача непростая и включает как технические, так и организационные аспекты. Однако при грамотном подходе заказчик получит не только надежную и защищенную инфраструктуру, но и лояльных и положительно мотивированных сотрудников.
Опубликовано 02.10.2024