Не доверяй и семь раз проверяй: как устроен Zero Trust

Не доверяй и семь раз проверяй: как устроен Zero Trust


  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Zero Trust (переводится как нулевое доверие) – это модель безопасности, разработанная в 2010 году аналитиком Forrester Джоном Киндервагом. Она позволяет построить архитектуру и доступы к её элементам (приложениям, файлам, базам данным и др.) безопасно. Если точнее, так, чтобы каждый участник проходил проверку и взаимодействовал только тогда, когда это разрешено. Сравнить эту модель можно с входом в метро через турникет, через который нельзя перепрыгнуть, поход в гости к друзьям через дотошного консьержа или переезд через границу с участием миграционной службы, полиции, проверкой паспорта и другими процедурами.

Далее в статье мы разберем семь основных направлений защиты, но перед этим расскажем про основные плюсы такого подхода. Самое главное преимущество модели – снижение рисков для бизнеса. Пользователь может видеть то, что нужно, и только когда подтвердит наличие необходимых для доступа прав; таким образом, в каждом случае подключения он рассматривается как потенциальная угроза и хакер. Во вторую очередь подход нулевого доверия позволяет постоянно в непрерывном цикле совершенствовать безопасность (мы отдельно разбирали различные средства защиты информации тут, тут, тут и тут).

При разработке архитектуры Zero Trust сотрудникам ИБ и ИТ сначала приходится отвечать на два вопроса: «Что нужно защищать?» и «От кого нужно защищать?», из которых складываются первые два шага подхода «семь раз отмерь, один раз отрежь».

Screenshot_20230727_115028.png


1. Идентификация

Чтобы понять, кто запрашивает доступ, сначала определяется, человек это или машина. Для проверки обычно используют анализ его поведения и различные capcha, которые позволяют пройти проверку Тьюринга. При помощи аналитических задач, выбора картинок из множества, распознавания символов для ввода в специальное поле и других методов все роботы и программы отсеиваются от реальных людей. Вы скорее всего хотя бы раз в жизни сталкивались с ситуацией в интернете, когда из девяти картинок надо найти те, на которых изображены котики, или где нужно подвинуть кусочек пазла, чтобы «доделать» картинку. Это и есть та самая капча – проверка, что вы не робот.

Если человек или слишком умный робот прошли первую проверку (офицер на паспортном контроле убедился, что паспорт настоящий и его владелец стоит рядом), наступает дополнительный этап – аутентификация. Пользователю нужно показать, что он имеет право двигаться дальше, показать все штампы и рассказать про цели поездки. С точки зрения IT систем такую проверку помогают пройти сервисы многофакторной аутентификации, о которой мы уже говорили отдельно.

2. Данные

Второй шаг любой проверки включает анализ данных. Что можно доверить пользователю в зависимости от его роли в процессе и уровня секретности в целом. Когда мы говорим про работу пользователя в какой-то системе, от его роли зависит даже внешний вид сервиса: для водителей в службе такси существует отдельное приложение, а для пассажиров – своё; для администратора платформы доступны функции проверки работы базы данных и коннекторов, а для риск менеджера – возможности по запуску процедуры оценки и контроля; для жильцов дома открыт доступ к лифтам, а почтальона консьерж пропустит только в фойе с абонентскими ящиками и т.д.

В общем случае все данные подлежат классификации и маркировке, например, публичные материалы или материалы только для служебного пользования (ДСП). В защите самих данных активно участвуют решения для простановки водяных знаков, специальных меток (не только видимых) и решения класса DLP, которые на лету разбирают данные и понимают их чувствительность.

Помимо базовых ответов на вопросы «Кто?» и «Что?» нужно ответить и на другие, например, «Каким образом?», «Когда?», «Откуда?» и т.д., поэтому вся методология Zero Trust предлагает использовать и другие средства защиты.

3. Место

С точки зрения IT место, откуда совершается попытка доступа, называется конечной точкой. Это могут быть смартфон, домашний компьютер, корпоративный ноутбук, сервер в периметре компании и другие устройства. Специальные решения позволяют обнаружить источник сигналов и понять, что это – такие продукты ИБ/ИТ помогают выстроить процесс управления активами и инвентаризацией. С одной стороны, компании важно видеть все устройства и обнаруживать новые, а затем распознать их, классифицировать, а с другой – определить, какие конечные точки в каких процессах участвуют. Помимо Asset Management можно подключить и процесс управления рисками (например, кибер-риски, по методологии ФСТЭК).

Как результат, методология позволяет отсеивать устройства, с которых получать доступ просто небезопасно. Дополнительно применяются и технологии, например, Virtual Private Network (VPN) для создания безопасного туннеля до корпоративных ресурсов или Remote Desktop Protocol (RDP) для использования защищённого компьютера во время удалённой работы.

4. Инфраструктура

По аналогии с предыдущим пунктом на данном шаге определяется место, только не где работает пользователь, а где находятся сами данные, например, виртуальная машина, контейнер с развёрнутым окружением, сервер или другое автоматизированное рабочее место (АРМ). В зависимости от особенностей инфраструктуры подбираются дополнительные средства защиты, например, решения типа IDentity Management (IDM), антивирусной защиты, поведенческого анализа и др.

Если сравнивать два этих шага с повседневными делами, то можно обратить внимание на базу требований для прилёта в какую-либо страну. Такую базу используют авиакомпании, некоторые из них также публикуют инструкции для пассажиров. Там можно найти требования к страховке, визе, разрешению на въезд и другим документам, которые могут потребоваться в зависимости от мест вылета и назначения. А с точки зрения ИТ – в зависимости от того, откуда пытается подключиться пользователь и места, где находятся сами данные, активируются различные СЗИ, описанные выше. А если безопасность подтвердить не удалось, доступ продолжает оставаться закрытым. 

5. Сеть

Дополнительные ограничения добавляются при организации связи одного сервиса с другим, например, база данных с чувствительной информацией и веб-сервер, через который пользователь хочет приобрести покупку или подписаться на новостную рассылку. Так, для защиты публичных серверов от массовых атак используются решения типа анти-DDoS, которые на уровне сети отфильтровывают реальные запросы от тех, что сформированы ботами, и пытаются «положить» сайт, повредив его доступность. Если сервис публичный, например, сайт покупки авиабилетов, интернет-магазин или онлайн-банк – сетевую доступность стоит рассматривать особенно тщательно. При помощи подхода нулевого доверия доступ будет максимально безопасным, но пользователю придётся доказать свои намерения, возможно, позвонить в колл-центр при обнаружении подозрительной активности или ввести код из СМС при входе в личный кабинет.

Разделение сети на части необходимо и в случае доступа внутри компании. Для того, чтобы организовать процесс, используют системы каталогов (например, Active Directory, AD) или решения по микросегментации при помощи брандмауэра (современные proxy-сервера и NGFW). Такие системы связывают друг с другом учётные записи пользователей, аппараты и IP-адреса, обеспечивая канал сетевой доступности только при прохождении всех проверок. Как минимум, решения могут работать не только в режиме «вразрыв», но и в режиме «мониторинг», фиксируя все связи для будущего анализа. В таком случае для быстрого поиска угрозы применяются различные способы визуализации детальных данных и взаимосвязей объектов. 

6. Политики безопасности

Под политиками мы обычно понимаем регламенты и организационные меры, которые описывают на бумаге или в электронном виде базовые правила: как часто нужно менять пароли, где искать телефоны коллег, что можно сделать, если заболел и не можешь прийти на работу, куда обратиться в случае утечки газа и т.д. Для информационных систем правила могут устанавливаться законом, например, необходимость сообщать о произошедшем инциденте на объекте критической информационной инфраструктуры (ОКИИ) или при применении СЗИ для защиты персональных данных (ПДн). Внутри компаний также могут устанавливаться свои регламенты и правила в виде требований (процедура оформления больничного листа, получение ключа доступа в помещение через СКУД-системы) или рекомендаций (корпоративная переписка, автоматические ответы во время отпуска и др.).

Почти в любой информационной системе можно настроить собственные политики, которые автоматически позволят применять правила подхода нулевого доверия ко всем действиям. Именно автоматизация позволяет сократить время и убрать риски человеческих ошибок во время работы. А политики являются центром принятия решений в методологии Zero Trust – они увязывают между собой пользователей, данные и технологии, обеспечивающие безопасность, доступность и надёжность.

Точечное создание политик, детальная их настройка и беспрерывность цикла обновления – ключ к успеху в организации любого процесса. Такие методы можно применять и в повседневной жизни. Мы уже описывали ряд полезных привычек, которые помогут повысить безопасность своих данных в сети – смело используйте их и чувствуйте себя спокойно.

7. Оркестрация

Последний по нашему списку (но не последний по важности) шаг в грамотном построении архитектуры по Zero Trust – это управление целым оркестром из разных средств защиты. Поскольку в мире не существует одного поставщика для всех услуг сразу, а продукты ИБ и ИТ разнообразны и отличаются функционалом и подходами – важно иметь возможность сделать собственную экосистему из чего угодно. Какими бы ни были решения для защиты пользователей, конечных точек, инфраструктуры и сети, аутентификации и анализа данных – все они должны согласно методологии нулевого доверия работать вместе, чтобы обеспечить безопасность.

В таком случае для построения экосистемы можно использовать продукты одного вендора, связанные друг с другом, или при помощи интеграций создать каналы передачи данных от одной системы к другой.

В итоге, шаг за шагом, можно построить связи между людьми, процессами и технологиями так, чтобы передавать данные можно было только после того, как на каждом этапе установлена безопасность.

Интересные публикации