Не доверяй и семь раз проверяй: как устроен Zero Trust

Руслан Рахметов, Security Vision

Zero Trust (переводится как нулевое доверие) – это модель безопасности, разработанная в 2010 году аналитиком Forrester Джоном Киндервагом. Она позволяет построить архитектуру и доступы к её элементам (приложениям, файлам, базам данным и др.) безопасно. Если точнее, так, чтобы каждый участник проходил проверку и взаимодействовал только тогда, когда это разрешено. Сравнить эту модель можно с входом в метро через турникет, через который нельзя перепрыгнуть, поход в гости к друзьям через дотошного консьержа или переезд через границу с участием миграционной службы, полиции, проверкой паспорта и другими процедурами.

Далее в статье мы разберем семь основных направлений защиты, но перед этим расскажем про основные плюсы такого подхода. Самое главное преимущество модели – снижение рисков для бизнеса. Пользователь может видеть то, что нужно, и только когда подтвердит наличие необходимых для доступа прав; таким образом, в каждом случае подключения он рассматривается как потенциальная угроза и хакер. Во вторую очередь подход нулевого доверия позволяет постоянно в непрерывном цикле совершенствовать безопасность (мы отдельно разбирали различные средства защиты информации тут, тут, тут и тут).

При разработке архитектуры Zero Trust сотрудникам ИБ и ИТ сначала приходится отвечать на два вопроса: «Что нужно защищать?» и «От кого нужно защищать?», из которых складываются первые два шага подхода «семь раз отмерь, один раз отрежь».

1. Идентификация

Чтобы понять, кто запрашивает доступ, сначала определяется, человек это или машина. Для проверки обычно используют анализ его поведения и различные capcha, которые позволяют пройти проверку Тьюринга. При помощи аналитических задач, выбора картинок из множества, распознавания символов для ввода в специальное поле и других методов все роботы и программы отсеиваются от реальных людей. Вы скорее всего хотя бы раз в жизни сталкивались с ситуацией в интернете, когда из девяти картинок надо найти те, на которых изображены котики, или где нужно подвинуть кусочек пазла, чтобы «доделать» картинку. Это и есть та самая капча – проверка, что вы не робот.

Если человек или слишком умный робот прошли первую проверку (офицер на паспортном контроле убедился, что паспорт настоящий и его владелец стоит рядом), наступает дополнительный этап – аутентификация. Пользователю нужно показать, что он имеет право двигаться дальше, показать все штампы и рассказать про цели поездки. С точки зрения IT систем такую проверку помогают пройти сервисы многофакторной аутентификации, о которой мы уже говорили отдельно.

2. Данные

Второй шаг любой проверки включает анализ данных. Что можно доверить пользователю в зависимости от его роли в процессе и уровня секретности в целом. Когда мы говорим про работу пользователя в какой-то системе, от его роли зависит даже внешний вид сервиса: для водителей в службе такси существует отдельное приложение, а для пассажиров – своё; для администратора платформы доступны функции проверки работы базы данных и коннекторов, а для риск менеджера – возможности по запуску процедуры оценки и контроля; для жильцов дома открыт доступ к лифтам, а почтальона консьерж пропустит только в фойе с абонентскими ящиками и т.д.

В общем случае все данные подлежат классификации и маркировке, например, публичные материалы или материалы только для служебного пользования (ДСП). В защите самих данных активно участвуют решения для простановки водяных знаков, специальных меток (не только видимых) и решения класса DLP, которые на лету разбирают данные и понимают их чувствительность.

Помимо базовых ответов на вопросы «Кто?» и «Что?» нужно ответить и на другие, например, «Каким образом?», «Когда?», «Откуда?» и т.д., поэтому вся методология Zero Trust предлагает использовать и другие средства защиты.

3. Место

С точки зрения IT место, откуда совершается попытка доступа, называется конечной точкой. Это могут быть смартфон, домашний компьютер, корпоративный ноутбук, сервер в периметре компании и другие устройства. Специальные решения позволяют обнаружить источник сигналов и понять, что это – такие продукты ИБ/ИТ помогают выстроить процесс управления активами и инвентаризацией. С одной стороны, компании важно видеть все устройства и обнаруживать новые, а затем распознать их, классифицировать, а с другой – определить, какие конечные точки в каких процессах участвуют. Помимо Asset Management можно подключить и процесс управления рисками (например, кибер-риски, по методологии ФСТЭК).

Как результат, методология позволяет отсеивать устройства, с которых получать доступ просто небезопасно. Дополнительно применяются и технологии, например, Virtual Private Network (VPN) для создания безопасного туннеля до корпоративных ресурсов или Remote Desktop Protocol (RDP) для использования защищённого компьютера во время удалённой работы.

4. Инфраструктура

По аналогии с предыдущим пунктом на данном шаге определяется место, только не где работает пользователь, а где находятся сами данные, например, виртуальная машина, контейнер с развёрнутым окружением, сервер или другое автоматизированное рабочее место (АРМ). В зависимости от особенностей инфраструктуры подбираются дополнительные средства защиты, например, решения типа IDentity Management (IDM), антивирусной защиты, поведенческого анализа и др.

Если сравнивать два этих шага с повседневными делами, то можно обратить внимание на базу требований для прилёта в какую-либо страну. Такую базу используют авиакомпании, некоторые из них также публикуют инструкции для пассажиров. Там можно найти требования к страховке, визе, разрешению на въезд и другим документам, которые могут потребоваться в зависимости от мест вылета и назначения. А с точки зрения ИТ – в зависимости от того, откуда пытается подключиться пользователь и места, где находятся сами данные, активируются различные СЗИ, описанные выше. А если безопасность подтвердить не удалось, доступ продолжает оставаться закрытым. 

5. Сеть

Дополнительные ограничения добавляются при организации связи одного сервиса с другим, например, база данных с чувствительной информацией и веб-сервер, через который пользователь хочет приобрести покупку или подписаться на новостную рассылку. Так, для защиты публичных серверов от массовых атак используются решения типа анти-DDoS, которые на уровне сети отфильтровывают реальные запросы от тех, что сформированы ботами, и пытаются «положить» сайт, повредив его доступность. Если сервис публичный, например, сайт покупки авиабилетов, интернет-магазин или онлайн-банк – сетевую доступность стоит рассматривать особенно тщательно. При помощи подхода нулевого доверия доступ будет максимально безопасным, но пользователю придётся доказать свои намерения, возможно, позвонить в колл-центр при обнаружении подозрительной активности или ввести код из СМС при входе в личный кабинет.

Разделение сети на части необходимо и в случае доступа внутри компании. Для того, чтобы организовать процесс, используют системы каталогов (например, Active Directory, AD) или решения по микросегментации при помощи брандмауэра (современные proxy-сервера и NGFW). Такие системы связывают друг с другом учётные записи пользователей, аппараты и IP-адреса, обеспечивая канал сетевой доступности только при прохождении всех проверок. Как минимум, решения могут работать не только в режиме «вразрыв», но и в режиме «мониторинг», фиксируя все связи для будущего анализа. В таком случае для быстрого поиска угрозы применяются различные способы визуализации детальных данных и взаимосвязей объектов. 

6. Политики безопасности

Под политиками мы обычно понимаем регламенты и организационные меры, которые описывают на бумаге или в электронном виде базовые правила: как часто нужно менять пароли, где искать телефоны коллег, что можно сделать, если заболел и не можешь прийти на работу, куда обратиться в случае утечки газа и т.д. Для информационных систем правила могут устанавливаться законом, например, необходимость сообщать о произошедшем инциденте на объекте критической информационной инфраструктуры (ОКИИ) или при применении СЗИ для защиты персональных данных (ПДн). Внутри компаний также могут устанавливаться свои регламенты и правила в виде требований (процедура оформления больничного листа, получение ключа доступа в помещение через СКУД-системы) или рекомендаций (корпоративная переписка, автоматические ответы во время отпуска и др.).

Почти в любой информационной системе можно настроить собственные политики, которые автоматически позволят применять правила подхода нулевого доверия ко всем действиям. Именно автоматизация позволяет сократить время и убрать риски человеческих ошибок во время работы. А политики являются центром принятия решений в методологии Zero Trust – они увязывают между собой пользователей, данные и технологии, обеспечивающие безопасность, доступность и надёжность.

Точечное создание политик, детальная их настройка и беспрерывность цикла обновления – ключ к успеху в организации любого процесса. Такие методы можно применять и в повседневной жизни. Мы уже описывали ряд полезных привычек, которые помогут повысить безопасность своих данных в сети – смело используйте их и чувствуйте себя спокойно.

7. Оркестрация

Последний по нашему списку (но не последний по важности) шаг в грамотном построении архитектуры по Zero Trust – это управление целым оркестром из разных средств защиты. Поскольку в мире не существует одного поставщика для всех услуг сразу, а продукты ИБ и ИТ разнообразны и отличаются функционалом и подходами – важно иметь возможность сделать собственную экосистему из чего угодно. Какими бы ни были решения для защиты пользователей, конечных точек, инфраструктуры и сети, аутентификации и анализа данных – все они должны согласно методологии нулевого доверия работать вместе, чтобы обеспечить безопасность.

В таком случае для построения экосистемы можно использовать продукты одного вендора, связанные друг с другом, или при помощи интеграций создать каналы передачи данных от одной системы к другой.

В итоге, шаг за шагом, можно построить связи между людьми, процессами и технологиями так, чтобы передавать данные можно было только после того, как на каждом этапе установлена безопасность.