Журнал "Information Security/ Информационная безопасность" #1, 2023

• 21 PAM www.itsec.ru Традиционный взгляд на ИБ пред- усматривает, что корпоративные устрой- ства, пользователи и приложения нахо- дятся внутри одного защищенного кон- тура, а данные хранятся в инфраструк- туре on-premise. Так создается безопас- ная среда, внутри которой субъекты могут без каких-либо границ взаимо- действовать друг с другом. Фокус при этом переносится на "поверхности атаки", то есть на потенциальные внеш- ние уязвимости инфраструктуры. Концепция нулевого доверия ставит под сомнение существование надежной внутренней сети: больше нет разделения на внешние или внутренние ресурсы и безграничной свободы действий внутри доверенной среды. Вместо этого Zero Trust подвергает проверке любые дей- ствия приложений, устройств и пользо- вателей. Прежде чем получить доступ к тем или иным ресурсам, необходимо подтвердить свои права на это. Кажется, что Zero Trust создает искус- ственные ограничения. Но на практике эта концепция открывает новые воз- можности: теперь подключаться к защи- щенному периметру могут не только сотрудники компании, но и партнеры, клиенты и подрядчики, при этом без- опасно для всех сторон. Каждый полу- чает ровно столько прав, чтобы эффек- тивно выполнять свои задачи, а если злоумышленник получит доступ к учет- ной записи, это не приведет к компро- метации всей инфраструктуры. При этом права доступа постоянно пересматриваются. Критически важно, чтобы политики безопасности были дина- мичными и базировались на как можно большем количестве источников данных. Это помогает сохранять актуальность и гибко управлять защитой в зависимости от изменений ИТ-инфраструктуры. Кроме того, в модели Zero Trust кор- поративная сеть и другие ресурсы раз- делены на отдельные узлы. Благодаря этому создается множество отдельных периметров с собственными политиками и правами доступа – такими узлами легче управлять и обнаруживать угрозу, если она вдруг возникает внутри сети. Роль аутентификации в Zero Trust Увы, нет универсальных инструментов, которые помогли бы организации внед- рить Zero Trust. Однако легко указать на основной обязательный элемент концеп- ции – процесс аутентификации. Именно он помогает достоверно определять, что за пользователь, устройство или прило- жение пытается получить доступ к дан- ным. В основе нулевого доверия лежит презумпция виновности: предполагается, что в любой попытке получить доступ к корпоративному ресурсу таится угроза, пока не будет доказано обратное. Аутентификация должна проводиться абсолютно при всех взаимодействиях субъектов. Взаимодействия могут услож- няться, их может становиться больше, и именно нулевое доверие помогает сохранить порядок в сложных процессах. Получается, аутентификация позволяет обеспечивать безопасность, не жертвуя удобством для пользователей. Да, им нужно подтверждать свою личность, что с первого взгляда кажется усложнением. Но процесс остается четким и прозрач- ным, ведь в основе Zero Trust – сформу- лированные критерии доверия. Процесс проверки обеспечивают системы единой аутентификации. Они позволяют аутентифицировать пользо- вателей и любые элементы инфраструк- туры. Это может происходить и без уча- стия человека, когда системы взаимо- действуют между собой для обмена дан- ными. Главная задача – создать уни- версальную централизованную платфор- му аутентификации, которая обеспечит единые правила входа во все приложе- ния вне зависимости от технологии их исполнения. Именно так инфраструктура становится более безопасной. Новые вызовы безопасности Почему концепция нулевого доверия приходит на смену традиционному под- ходу? Здесь есть три основные причины. Во-первых, даже самый защищенный периметр не способен обезопасить ком- панию от внутренних рисков. Злоумыш- ленник может узнать об уязвимостях и намеренно проникнуть в корпоративную сеть, где для него откроется безграничный доступ к данным. Бывает, что и сами сотрудники случайно раскрывают конфи- денциальные ресурсы, компрометируют свои устройства или учетные данные. Отчет Symantec показывает 1 , что в сред- нем одно из 36 устройств, используемых в организации, связано с высоким уровнем риска. А согласно оценкам Verizon 2 , каж- дое четвертое нарушение корпоративной кибербезопасности в мире связано с укра- денными учетными данными. Во-вторых, сегодня все большую популярность набирает on-cloud инфра- структура и гибридные форматы – когда часть данных хранится внутри перимет- ра, а часть находится в облаках. В таком случае границы безопасного периметра организации стираются. В-третьих, большую роль играет пере- ход на гибридный формат работы. Теперь пользователи и их рабочие устройства могут находиться где угодно, в том числе в других городах и странах. Сегодня Zero Trust, или концепция "нулевого доверия", – один из наиболее популярных подходов к защите корпо- ративной инфраструктуры. Особенно широко стратегия распространена за рубежом: согласно оценкам Ping Identity, 82% руководителей компаний по всему миру полагаются на Zero Trust при реа- лизации инициатив цифровой трансфор- мации. l Семь раз проверь: Zero Trust и аутентификация основе концепции Zero Trust лежит простая идея: субъекты инфраструктуры, будь то пользователи, устройства или приложения, не могут доверять друг другу только на основании того, что находятся в пределах одного периметра. Субъектам необходимо постоянно подтверждать свое право на доступ к корпоративным ресурсам. Что такое Zero Trust и какую роль в этом играет аутентификация – рассмотрим подробнее. В Дмитрий Грудинин, системный архитектор компании “Аванпост” Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.broadcom.com/support/security-center 2 https://www.verizon.com/business/resources/reports/2021-data-breach-investigations-report.pdf