Открыть сервис

Нулевое доверие

Нулевое доверие — это модель кибербезопасности, архитектурный подход и набор принципов проектирования информационных систем, исходящий из предпосылки, что ни один субъект (пользователь, устройство, приложение или сетевой трафик) не заслуживает доверия априори, независимо от того, находится ли он внутри или за пределами традиционного периметра сети. Основная идея заключается в отказе от автоматического доверия и проверке каждого запроса на доступ к ресурсам как к потенциально опасному, что является фундаментальным отличием от классической модели безопасности на основе периметра («замок и ров»).

История и предпосылки возникновения

Концепция нулевого доверия не является единовременным изобретением, а скорее эволюционным ответом на изменения в ИТ-инфраструктуре и ландшафте угроз.

Традиционная модель «периметральной» безопасности

Вплоть до середины 2000-х годов доминировала модель «крепости»: корпоративная сеть считалась доверенной, а доступ в неё защищался межсетевыми экранами, VPN и системами обнаружения вторжений на границе. Внутри этой границы пользователи и устройства получали избыточные права. Эта модель хорошо работала, когда сотрудники находились в офисе, а серверы — в локальном дата-центре.

Сдвиг парадигмы: облака и мобильность

Распространение облачных вычислений (SaaS, IaaS), удалённой работы, личных мобильных устройств (BYOD) и распределённых сетей разрушило чёткий периметр. Данные перестали находиться только в офисной сети, а пользователи — быть подключенными к ней. Стало ясно, что злоумышленник, проникший в периметр через скомпрометированный аккаунт или устройство, может свободно перемещаться по внутренним ресурсам.

Рождение термина

The concept of zero trust was popularized by John Kindervag, a former analyst at Forrester Research, around 2010. Его идея заключалась в том, что организации должны уничтожить концепцию доверия, где бы она ни возникала, и проверять каждый запрос, не полагаясь на местоположение. Позднее, в 2021 году, Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало «Модель зрелости нулевого доверия», а Национальный институт стандартов и технологий (NIST) выпустил специальную публикацию SP 800-207, формализовавшую принципы архитектуры.

Основные принципы нулевого доверия

Архитектура нулевого доверия (Zero Trust Architecture, ZTA) базируется на наборе взаимосвязанных принципов, сформулированных в NIST SP 800-207.

1. Непрерывная верификация

В отличие от классических моделей, где аутентификация происходит один раз при входе в систему, нулевое доверие требует постоянной проверки удостоверений, состояния устройства и контекста запроса (местоположение, время суток, используемое приложение). Сессия может быть прервана и потребовать повторной аутентификации в любой момент.

2. Никому не доверять, всех проверять

Доверие не предоставляется автоматически на основании того, что трафик исходит из корпоративной сети или от доверенного IP-адреса. Каждый запрос, от любого пользователя и любого устройства, считается потенциально враждебным, пока не будет верифицирован. Это касается как внешних, так и внутренних коммуникаций.

3. Доступ с минимальными привилегиями

Реализуется принцип «минимально необходимого доступа» (least privilege). Пользователю или сервису предоставляется ровно столько прав, сколько нужно для выполнения конкретной задачи, и не более. Это значительно снижает радиус поражения в случае компрометации. Права регулярно пересматриваются и часто являются временными.

4. Микросегментация сети

Сеть разделяется на изолированные сегменты («микропериметры») на уровне рабочих нагрузок, приложений или даже отдельных процессов. Трафик между сегментами (например, между веб-сервером и базой данных) разрешается только на основе политик безопасности и проверяется шлюзами нулевого доверия (PEP), а не полагается на доверие к локальной сети.

5. Мониторинг и аналитика

Все логи доступа, действия субъектов и сетевой трафик собираются, агрегируются и анализируются в реальном времени с помощью систем управления информацией и событиями безопасности (SIEM), систем защиты конечных точек (EDR) и оркестрации. Любое аномальное поведение (например, попытка доступа с необычного устройства или из нехарактерного региона) является сигналом тревоги.

Архитектура и компоненты

Архитектура нулевого доверия не является конкретным продуктом, а представляет собой комбинацию технологий, процессов и политик.

Ключевые компоненты

Пример работы ZTA

  1. Пользователь на своём ноутбуке пытается открыть корпоративную бухгалтерскую базу данных.
  2. Запрос попадает на Policy Enforcement Point (шлюз перед БД).
  3. PEP запрашивает у Policy Administrator разрешение, передавая ему данные о пользователе (ID), устройстве (сертификат, состояние антивируса), местоположении (офис / кофейня) и типе запроса.
  4. Policy Administrator передаёт этот контекст в Policy Engine, который проверяет, соответствует ли запрос установленным политикам (например, «только сотрудники бухгалтерии, с корпоративных ноутбуков, между 8:00 и 20:00 в будние дни»).
  5. Если политика выполнена и риски низки, PE одобряет доступ, PA генерирует временный токен, и PEP открывает сессию (с шифрованием).
  6. Если на ноутбуке нет обновлений безопасности или пользователь пытается войти в нерабочее время, PE отклоняет запрос, и трафик блокируется.

Применение и преимущества

Основные сценарии использования

Преимущества

  1. Снижение радиуса поражения: если аккаунт скомпрометирован, злоумышленник не получает автоматический доступ ко всем ресурсам сети.
  2. Повышение наблюдаемости: все запросы логируются, что даёт полную картину активности.
  3. Гибкость и масштабируемость: ZTA не привязана к физической сетевой топологии, что упрощает работу в облачных средах и при использовании микросервисов.
  4. Соответствие регуляторам: многие регуляторные стандарты (например, PCI DSS, GDPR) поощряют или требуют реализации принципов нулевого доверия, таких как управление доступом.

Критика и сложности внедрения

Несмотря на преимущества, внедрение нулевого доверия сопряжено с вызовами.

Сложность и стоимость

Реализация ZTA требует серьёзной перестройки ИТ-инфраструктуры, часто с использованием дорогостоящих решений (SIEM, IAM, EDR, шлюзы). Для небольших организаций это может быть неподъёмным по стоимости и ресурсам.

Нагрузка на инфраструктуру

Постоянная верификация и перехват трафика могут создавать дополнительную задержку (latency). Одиночная точка отказа в виде Policy Engine или PEP может парализовать работу всей системы.

Управление исключениями

Чистое нулевое доверие может быть неудобно для пользователей. Необходимо тщательно настраивать политики, чтобы не сломать легитимные рабочие процессы. Например, системы SCADA или устаревшие промышленные контроллеры могут не поддерживать современную аутентификацию.

Отсутствие единого стандарта

Хотя NIST SP 800-207 является авторитетным руководством, на рынке существует множество вендорских решений, которые по-разному интерпретируют принципы ZTA, что затрудняет выбор и интеграцию. Зачастую вендоры называют свои продукты «нулевым доверием», не реализуя полного набора принципов (например, обеспечивая только аутентификацию, но не микросегментацию).

Перспективы развития

Нулевое доверие продолжает эволюционировать, становясь основным подходом к кибербезопасности. Движущими силами являются:

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →