Согласно отчету TechTarget Enterprise Strategy Group за 2024 год, более двух третей организаций утверждают, что внедряют политику нулевого доверия. Что это за модель, почему она становится все популярнее и зачем ее внедряют — разбираем в статье.
Что такое модель нулевого доверия (Zero Trust)
Zero Trust Security — это современный подход к кибербезопасности, работающий по принципу: "Никогда не доверяй, всегда проверяй".
Традиционная безопасность основана на защите периметра сети, где внутренние пользователи считаются доверенными. Вместо этого Zero Trust оценивает каждое соединение между пользователями, устройствами, приложениями и данными независимо от их расположения.
Такой подход защищает бизнес от утечек данных, атак программ-требователей и хакерских вторжений, что особенно актуально для облачных сервисов, IoT и удаленной работы.
История внедрения
В 2010 году аналитик Forrester Research Джон Киндерваг предложил концепцию "нулевого доверия" для лучшей защиты корпоративных ресурсов. Вместо защиты только периметра сети этот подход фокусируется на каждом отдельном ресурсе.
Любой пользователь, устройство или запрос считается потенциальной угрозой. Чтобы получить доступ, нужно проходить аутентификацию и авторизацию каждый раз при подключении к новому ресурсу. Это сводит к минимуму риски и гарантирует, что только проверенные пользователи могут работать с ценными данными.
Традиционная безопасность сети уже не работает — нужен подход к нулевому доверию. Раньше компании защищали свои сети брандмауэрами, считая внутренних пользователей надежными. Но цифровая трансформация разрушила этот периметр: бизнес работает в облаке с мобильными сервисами, IoT и удаленными работниками.
Поэтому компании становятся более уязвимыми к кибератакам, утечкам данных и программам-требователям.
Как работает Zero Trust
Безопасность нулевого доверия основана на постоянной проверке пользователей, приложений, устройств и данных. Это не одно решение, а комплексный подход, включающий в себя контроль доступа, автоматизацию и управление сетью.
Организации внедряют нулевое доверие по разным моделям, таким как система Forrester, стандарты NIST (SP 800-207) и модель CISA (ZTMM). Независимо от выбранной структуры все стратегии нулевого доверия включают ключевые принципы безопасности:
- три принципа нулевого доверия;
- пять основных принципов нулевого доверия;
- и доступ к сети с нулевым доверием (ZTNA).
Три принципа нулевого доверия
Zero Trust Security не одно решение – это комплексная стратегия. Она охватывает:
- постоянный мониторинг и проверку;
- принцип малейших привилегий;
- предположение о взломе.
Основные принципы Zero Trust Security
Постоянный мониторинг и проверка
Доступ к сети по умолчанию заблокирован. Каждый пользователь, устройство или процесс проходят аутентификацию перед подключением и повторную проверку при работе.
Принцип малейших привилегий
Пользователи и устройства получают минимально необходимый доступ, который автоматически отменяется после завершения работы.
Предположение о взломе
Система работает так, будто злоумышленники уже находятся в сети. Это означает постоянный мониторинг, сегментацию сети и быстрое реагирование на подозрительную активность пользователя, устройства и процесса в сети.
Пять столпов нулевого доверия
Модель безопасности нулевого доверия CISA описывает пять основ, на которых организации могут сосредоточиться при внедрении нулевого доверия:
- идентичность;
- устройства;
- сети;
- приложения и погрузки;
- данные.
Идентичность
Аутентификация идентификаторов пользователей и предоставление этим пользователям доступа только к одобренным корпоративным ресурсам – фундаментальная возможность безопасности без доверия.
Общие инструменты, используемые для этой цели, включают системы управления идентификацией и доступом (IAM), решения единого входа (SSO) и многофакторную аутентификацию (MFA).
Уcтройства
Каждое устройство, подключаемое к сетевому ресурсу, должно полностью соответствовать политикам нулевого доверия и средствам безопасности организации. Это включает в себя рабочие станции, мобильные телефоны, серверы, ноутбуки, устройства IoT, принтеры и т.д.
Организации с нулевой доверием ведут полные и актуальные инвентаризации всех авторизованных конечных устройств. Несанкционированным устройствам запрещается доступ к сети.
Сети
Организации переходят от традиционной сегментации сети к микросегментации в среде нулевого доверия. Ресурсы и рабочие погрузки разделены на меньшие, более безопасные зоны, которые помогают организациям лучше сдерживать нарушения. Злоумышленники даже не могут видеть ресурсы, которые они не вправе использовать.
Организации также могут применять другие методы предотвращения сетевых угроз, таких как шифрование сетевого трафика и мониторинг поведения пользователей и объектов.
Приложения и нагрузки
Как и любой другой элемент модели с нулевой доверием, приложения и интерфейсы прикладного программирования (API) не имеют неявного доверия.
Вместо предоставления одноразового статического доступа к программам организации переходят к динамической авторизации, которая требует постоянной повторной проверки для постоянного доступа. Организации постоянно отслеживают общающиеся друг с другом программы на наличие необычного поведения.
Данные
По модели нулевого доверия организации классифицируют данные, чтобы обеспечить целевой контроль доступа и безопасность.
Информация защищена шифрованием при передаче, использовании и хранении. Система постоянно отслеживает обработку данных, выявляя подозрительную активность, которая может свидетельствовать об утечке или взломе.
Что такое Zero Trust Network Access (ZTNA)
Одной из основных технологий для реализации стратегии Zero Trust является доступ к сети с нулевым доверием или ZTNA (Zero Trust Network Access). Это новый уровень удаленного доступа, который заменяет VPN.
Как и виртуальная частная сеть (VPN), ZTNA обеспечивает удаленный доступ к приложениям и услугам. Однако подключает пользователей только к тем ресурсам, на которые они имеют разрешение, а не ко всей сети.
Где применяется модель Zero Trust
Защита облачных сервисов
Поскольку архитектура нулевого доверия обеспечивает контроль доступа на основе идентичности, она может предложить надежную защиту для гибридных и многооблачных сред. Проверенным облачным рабочим нагрузкам предоставляется доступ к критически важным ресурсам, а неавторизованным облачным службам и приложениям запрещен.
Безопасность цепи поставок
Организациям часто нужно предоставлять доступ к сети поставщикам, подрядчикам, и другим третьим лицам. Хакеры пользуются этой ситуацией, чтобы осуществить атаки на цепь поставок, во время которых они используют скомпрометированные учетные записи поставщиков и рабочие нагрузки для проникновения в сеть компании.
Нулевое доверие применяет непрерывную контекстную аутентификацию и доступ с наименьшими привилегиями к каждому объекту, включая тех, кто находится вне сети. Даже если хакеры взломали учетную запись надежного поставщика, они не смогут получить доступ к конфиденциальным ресурсам компании.
Удаленный доступ для сотрудников
Организации традиционно полагаются на виртуальные частные сети (VPN) для подключения удаленных сотрудников к сетевым ресурсам. Но сети VPN сложно масштабируются и не предотвращают латеральное перемещение (движение киберпреступников из одной скомпрометированной системы в другую внутри сети).
В модели нулевого доверия компании могут вместо этого использовать решение доступа к сети без доверия (ZTNA). Оно проверяет личности сотрудников, а затем предоставляет им доступ только к программам, данным и услугам, необходимым для выполнения работы.
Видимость IoT
Поскольку устройства IoT подключаются к Интернету, они представляют угрозу для безопасности компании. Хакеры часто нацеливаются на устройства IoT, поскольку они могут использовать их для внедрения вредоносных программ в уязвимые сетевые системы.
Архитектуры нулевого доверия постоянно отслеживают местонахождение, состояние и исправность каждого устройства IoT в организации. Каждое устройство рассматривается как потенциально вредоносный объект. Как и другие элементы среды нулевого доверия, устройства IoT подлежат контролю доступа, аутентификации и зашифрованной связи с другими сетевыми ресурсами.
Ранее мы писали что такое отдел безопасности SOC и зачем он компаниям.
