← Типы VPN: IPsec, WireGuard,…Безопасный удалённый доступ →

Нулевое доверие (Zero Trust)

Почему модель «жёсткая граница снаружи, мягко внутри» больше не работает и что предлагает нулевое доверие.

Zero Trust (нулевое доверие) — модель безопасности по принципу «никогда не доверяй, всегда проверяй»: ни один пользователь, устройство или сервис не получает доступ по умолчанию только из-за своего положения в сети; каждый запрос проверяется заново.

Зачем это знать защитнику

Классическая оборона строилась как замок: толстые стены по периметру (файрвол, VPN), а внутри — относительно свободное перемещение. Проблема в том, что современный атакующий обычно не «пробивает стену», а проходит через дверь — фишингом крадёт учётку или компрометирует один ноутбук. Оказавшись внутри «доверенной» сети, он спокойно двигается вбок к серверам и данным. Нулевое доверие убирает само понятие «внутри = безопасно»: даже из корпоративной сети доступ к каждому ресурсу нужно заслужить заново. Понимая эту модель, защитник проектирует систему так, что один взлом не превращается в катастрофу.

Три кита нулевого доверия

Проверять каждый запрос

Доступ к ресурсу — это не «пустили один раз и забыли», а решение, принимаемое на каждый запрос. Система каждый раз спрашивает: кто это (личность), с какого устройства, в каком оно состоянии, к чему именно хочет получить доступ и при каких условиях. Аутентификация и авторизация происходят непрерывно, а не только в момент входа.

Минимальные привилегии

Каждый субъект получает ровно столько прав, сколько нужно для задачи, и не больше. Бухгалтер не имеет доступа к продакшен-серверам, сервис обработки заказов не ходит в базу кадров. Чем меньше у скомпрометированной учётки прав, тем меньше ущерб.

Предполагать, что нас уже взломали

Проектируйте так, будто атакующий уже внутри. Это меняет приоритеты: важна не только защита границы, но и обнаружение аномалий, ограничение радиуса поражения и быстрое реагирование.

Микросегментация

Вместо одной большой «плоской» сети её дробят на множество мелких зон, между которыми трафик разрешён только явными политиками. Цель — пресечь боковое перемещение (lateral movement): даже захватив один сервер, атакующий не может свободно достучаться до остальных. Сравните два подхода в политике файрвола:

// Плоская сеть (опасно): внутри разрешено всё
allow from 10.0.0.0/8 to 10.0.0.0/8 any

// Микросегментация: разрешён только нужный поток
allow from app-tier  to db-tier   tcp/5432
deny  from app-tier  to admin-net  any
deny  from any       to any        any   // запрет по умолчанию

Ключевая идея — «запрет по умолчанию» (default deny): всё, что не разрешено явно, запрещено. В нулевом доверии это правило применяют не только на периметре, но и между внутренними сегментами.

Проверка устройства и пользователя

Решение о доступе опирается на два независимых сигнала. Пользователь подтверждает личность (пароль плюс второй фактор, см. урок про идентичность). Устройство тоже должно соответствовать политике: установлены обновления, включено шифрование диска, работает антивирус, устройство известно компании. Запрос с корректной учёткой, но с заражённого или неуправляемого ноутбука должен быть отклонён или ограничен. Этот учёт «здоровья» устройства называют device posture.

ZTNA вместо периметра

ZTNA (Zero Trust Network Access) — практическая реализация модели для удалённого доступа, идущая на смену «VPN-впустил-во-всю-сеть». Отличие принципиальное: VPN традиционно даёт подключившемуся клиенту сетевую видимость целого сегмента, а ZTNA соединяет пользователя точечно с конкретным приложением, к которому ему разрешён доступ, и ничего больше он даже не видит. Приложения не «светят» портами в интернет, а спрятаны за брокером доступа, который для каждого запроса проверяет личность, устройство и контекст. Получается доступ «по приложению», а не «по сети».

Как это работает под капотом

В центре модели — политический движок (Policy Decision Point). Когда субъект хочет к ресурсу, движок собирает сигналы: подтверждённую личность, состояние устройства, время, геолокацию, чувствительность ресурса — и по правилам выдаёт решение «разрешить / запретить / запросить дополнительный фактор». Исполняет это решение точка применения (Policy Enforcement Point) — прокси или шлюз перед ресурсом. Поскольку решение принимается на каждый запрос и опирается на свежие сигналы, доступ можно мгновенно отозвать, если устройство «заболело» или поведение стало аномальным. Это и есть непрерывная, а не разовая проверка.

Как защититься (внедрить осознанно)

  • Начните с инвентаризации — нельзя защищать то, чего не видишь: составьте список пользователей, устройств, сервисов и потоков данных.
  • Введите сильную аутентификацию личности и проверку состояния устройства как условие доступа.
  • Сегментируйте по принципу default deny — разрешайте только необходимые потоки между зонами.
  • Прячьте приложения за брокером (ZTNA) вместо выставления портов и «плоского» VPN-доступа.
  • Логируйте и анализируйте все решения о доступе, чтобы быстро замечать аномалии и сужать радиус поражения.
  • Внедряйте поэтапно — Zero Trust это путь и набор практик, а не одна покупаемая «коробка».

Итоги

  • Нулевое доверие отменяет привилегию «находиться внутри сети»: каждый запрос проверяется заново.
  • Три опоры: проверка на каждый запрос, минимальные привилегии, допущение «нас уже взломали».
  • Микросегментация и default deny ограничивают боковое перемещение атакующего.
  • Решение о доступе учитывает и пользователя, и состояние устройства; ZTNA даёт доступ к приложению, а не ко всей сети.
Проверьте себя
1. В чём суть принципа Zero Trust?
Aдоверять всем устройствам внутри корпоративной сети по умолчанию
Bникогда не доверять по умолчанию и проверять каждый запрос независимо от того, изнутри он или снаружи
Cполностью отказаться от паролей и шифрования
Dразрешать доступ только из офиса по IP-адресу
2. Зачем нужна микросегментация?
Aчтобы ускорить интернет внутри офиса
Bчтобы ограничить боковое перемещение: взлом одного сегмента не открывает доступ ко всей сети
Cчтобы отключить шифрование между серверами
Dчтобы все сервисы оказались в одной плоской сети