Журнал "Information Security/ Информационная безопасность" #4, 2022

Принципы нулевого доверия Рассмотрим восемь принципов ZT, учитывая которые, можно выстроить образцовую систему безопасности. 1. Доступ к значимым корпоративным ресурсам для каждой новой сессии пре- доставляется только после прохождения пользователем процедур аутентифика- ции и авторизации. 2. Доступ к одному ресурсу не дает по умолчанию доступ к другому. 3. Запросы на доступ от пользовате- лей, расположенных внутри условного периметра компании, отвечают тем же требованиям безопасности, что и запро- сы, поступающие извне. 4. Необходимы контроль устройств и отслеживание их активности, обеспечение их исправности и функционирования. 5. Должен постоянно осуществляться сбор и анализ информации о текущем состоянии сетевой инфраструктуры, сетевом трафике, запросах доступа. 6. Все ресурсы аутентификации и авторизации должны контролироваться. 7. У компании должна быть система управления учетными данными, актива- ми и доступом, включая многофакторную аутентификацию. 8. Должны быть реализованы принци- пы адаптивной аутентификации и авто- ризации; чем критичнее запрос на доступ, тем детальнее должна быть про- верка доступа. Стоит отметить, что единообразных требований и критериев обеспечения без- опасности в парадигме ZT пока не суще- ствует, нет и единого способа решения всех задач ZT. Более того, большинство компаний, решивших работать в этой парадигме, находятся сейчас в переход- ной фазе, когда часть инфраструктуры уже работает в соответствии с концепци- ей, а другая еще нет. Появляется вопрос, с решения каких задач и исполнения каких критериев нужно начинать переход к работе в рамках ZT. Самыми простыми и эффективными мерами, которые помогут быстро повы- сить уровень ИБ в компании, являются меры, направленные на обеспечение контроля авторизации и аутентификации пользователей, а также контроль сете- вой инфраструктуры и трафика. Контроль этих параметров так или иначе необходим для обеспечения высо- кого уровня информационной безопас- ности компании. Но какие конкретно программные продукты выбрать? Осо- бенно остро этот вопрос ощущается в условиях ухода с российского рынка ряда иностранных производителей. Не все об этом знают, но отечествен- ным разработчикам есть что предложить. Например, в линейке продуктов "Газин- формсервиса" имеются два решения, позволяющих обеспечивать и контроль сетевого оборудования, и сетевую иден- тификацию, и управление доступом администраторов на всех сетевых устройствах, – это Efros Config Inspector и Efros Access Control Server. Рассмотрим подробнее возможности продуктов. Основные функции Efros Config Inspector Efros Config Inspector (Efros CI) – это программный комплекс, предназначен- ный для обеспечения контроля конфи- гураций и состояний рабочей среды сетевого оборудования, средств защиты информации, платформ виртуализации и операционных систем. Функции Efros CI: l проверка наличия уязвимостей обо- рудования, формирование отчетов по результатам проверок; l контроль настроек элементов ИТ- инфраструктуры на соответствие раз- личным отраслевым и корпоративным стандартам безопасности; l анализ правил межсетевого экрани- рования; l контроль конфигураций активного сетевого оборудования, сред виртуа- лизации, операционных систем и ряда 36 • ТЕХНОЛОГИИ 8 принципов построения архитектуры безопасности в парадигме Zero Trust рактическое внедрение парадигмы нулевого доверия (ZT, Zero Trust) при обеспечении сетевой безопасности компании в последние годы приобретает все новых и новых сторонников. Принцип “никому не доверяй”, лежащий в основе ZT, кажется особенно актуальным в условиях регулярных хакерских атак на инфраструктуру российских компаний. Но как правильно сместить акцент с безопасности ресурсов на безопасность сегментов сети предприятия? Давайте рассмотрим восемь основных принципов ZT, а также отечественные продукты, способствующие реализации этих принципов. П Виталий Даровских, менеджер по продукту Efros ACS компании “Газинформсервис” Рис. 1. Схема работы Efros Config Inspector