Вступление

О моде на «Zero Trust» говорят уже много лет. SASE, ZTNA, усиление IAM — всё это преподносится как магия новой эпохи. Но инженеры на местах часто пожимают плечами: «Разве это не просто более жёсткая аутентификация?»

Так является ли Zero Trust действительно новой парадигмой безопасности или это лишь модное словечко? В этой статье мы разберёмся, критически взглянув на феномен.

Периметровая безопасность как изначальная установка

Для начала напомним традиционную модель безопасности. В эпоху IPv4 частные адресные пространства и NAT защищали локальные сети, так что внешнему миру было трудно достучаться внутрь. Плюс файрвол, блокирующий трафик «снаружи внутрь», — и долгое время работало допущение: если периметр защищён, внутри безопасно.

Модель действительно была мощной и десятилетиями поддерживала безопасное использование интернета — примерно с 1990-х до 2010-х. «Подключился по VPN — и свобода действий» — типичное воплощение периметрового подхода.

Почему Zero Trust оказался в центре внимания

Но обстановка изменилась.

Распространение облаков и мобильности

Сотрудники работают из дома или кафе и заходят в SaaS, границы компании размываются.

Внутренние злоумышления и боковое движение вредоносного ПО

Стоит злоумышленнику попасть внутрь, и LAN остаётся «островом доверия» без защиты.

Влияние Google BeyondCorp

Модель BeyondCorp от Google была воспринята как «новая безопасность, ломающая периметр» и взорвала информационное поле.

Так на авансцену вышло знамя «Zero Trust». Лозунг «никому не доверяй» звучит эффектно и сильно воздействует на топ-менеджмент.

Расхожие заблуждения о Zero Trust

На самом деле ни NIST, ни CISA не призывают «полностью отказаться от периметра». Они говорят о поэтапной миграции и о том, что большинство организаций будут жить в гибриде периметра и Zero Trust.

Почему же укоренилось представление о «панацее»?

  • Вендоры хотели продавать свои продуктовые линейки как «неотъемлемые элементы Zero Trust».
  • Пример Google неверно прочитали как «универсальную модель, которую может клонировать каждый».
  • После инцидентов Zero Trust часто упоминали как «если бы внедрили, всё бы предотвратили» — удобный постфактум-аргумент.

Получается, Zero Trust логичен как идея, но его статус модного слова сильно раздут.

Ловушка «обойдёмся без периметра»: пока есть мощные клиенты, периметр нужен

Здесь важный момент. Если бы все работали на тонких клиентах и не хранили данные локально, Zero Trust действительно ложился бы идеально. Но в реальных компаниях повсеместно используются мощные клиенты — полнофункциональные ПК.

Они хранят приложения и данные локально; стоит машине заразиться — она с легитимными учётными данными пойдёт вбок по сети. Остановить такое боковое движение без периметровых мер вроде файрволов и сегментации невозможно.

Так что формула «Zero Trust = без периметра» неверна; ключевая задача — перепридумать оптимальную толщину периметра.

Так что же такое Zero Trust?

Если разложить по полочкам, Zero Trust оказывается очень простым.

  • Искажённый образ «Магическая новая технология» «Революция, полностью отменяющая периметр» «Универсальное средство от всех бед»

  • Реальное содержание Отказаться от сладкого предположения «раз мы в локальной сети, значит, автоматически безопасно» Комбинировать аутентификацию, авторизацию, проверку устройств, мониторинг логов и другие знакомые технологии, чтобы построить эксплуатацию безопасности без допущений о доверии

Сами по себе эти технологии не новы.

  • MFA (многофакторная аутентификация)
  • SAML и OAuth для федерации аутентификации
  • MDM (управление мобильными устройствами)
  • EDR (обнаружение и реагирование на конечных точках)
  • CASB (контроль доступа к облакам)
  • SASE (облачная платформа, объединяющая сеть и безопасность)

Все эти механизмы существовали давно. Zero Trust лишь связал их и превратил в общий лозунг.

Вывод: настоящая ценность Zero Trust

Zero Trust — это модное слово или технология? Ответ: «Это модное слово, упаковывающее подход, но именно пересмотр допущений даёт ему ценность».

Если меня спросят «что такое Zero Trust?», я отвечу так:

Откажитесь от прежнего допущения «LAN = безопасность», свяжите знакомые технологии и реализуйте эксплуатацию безопасности, которая не опирается на доверие по умолчанию. Иначе реальность просто не будет работать.

Это не волшебная новая технология и не новая продуктовая линейка. Но когда снять налёт маркетинга, оставшееся «инженерное мышление» действительно может оказаться полезным.

FAQ (часто задаваемые вопросы)

Q: Чем Zero Trust отличается от VPN? A: VPN — это «ключ к периметру»: попал внутрь — доверяют. В Zero Trust проверки и мониторинг продолжаются даже после входа.

Q: Значит ли Zero Trust, что файрволы больше не нужны? A: Нет. Чтобы остановить заражённые (особенно мощные) клиенты и их боковое движение, периметровые меры по-прежнему критичны.

Q: Может ли малый бизнес внедрить Zero Trust? A: Постепенно — да. Начните с MFA, усиленного мониторинга логов и других точечных шагов.

Q: Zero Trust — это новая технология? A: Нет. Это переупаковка давно известных решений в рамках новой концепции.

Полезные ссылки