Начиная с конца 2019 года особой популярностью стал пользоваться архитектурный подход Zero Trust Networking, который предполагает, что каждое подключение проверяется с точки зрения аутентификации пользователя и его уровня безопасности. Подробнее об этом и как этот подход реализуется с точки зрения системы защиты рассказал руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев в своем выступлении на IT Security Day 2021.
По его словам, в Западной Европе и Америке история с Zero Trust Networking получила свое развитие в связи с адаптацией облачных услуг, тогда как в России это связано с массовым уходом на удаленку.
В чем заключаемся этот подход?
«Мы всех пользователей считаем удаленными. Мы считаем, что у нас нет возможности гарантированно обеспечить защитить тех пользователей, которые находятся внутри периметра. И здесь мы можем запретить произвольному пользователю доступ к сервису пока мы не уверены, что с пользователем все хорошо. Поэтому мы проверяем безопасность клиента перед подключением», — начал свой рассказ Павел Коростелев.
Вместе с этим идет динамическая блокировка вредоносных подключений. Кроме этого Zero Trust Networking подразумевает и атомарное разграничение доступа к приложениям на минимально возможном уровне, то есть на сетевом уровне, но можно сделать и ниже. То есть удаленный пользователь получает доступ после аутентификации только к нужному ему приложению и больше ни к чему, и локальный пользователь тоже считается удаленный и тоже получает доступ только после аутентификации только к конкретному сервису.
Как это реализуется с точки зрения систем защиты?
По словам Павла Коростелева, есть четыре точки адаптации этой архитектуры: традиционные Next Generation Firewall, TLS сервер, Host Network Access, Virtualization Firewall.
«Традиционные Next Generation Firewall — здесь есть возможность и трафик проверять, и пользователей аутентифицировать, и в целом это точка контроля трафика. Далее у нас есть TLS/SSL сервер, то есть система защищенного удаленного доступа, у которой есть прекрасная штука под названием портал приложений. У нас есть три, и четвертая разрабатывается, системы защищенного удаленного доступа по ГОСТу, TLS серверов так называемых. И в каждом есть функция, которая позволяет пользователя отправлять целенаправленно в то приложение, в которому ему разрешено, а не ко всем приложениям, которые есть в рамках сетевой инфраструктуры, куда он получил доступ. Также есть хостовая часть — это контроль доступа пользователей и контроль доступа процессов, то есть это и для пользователей, и для удаленных виртуальных машин, для облачной инфраструктуры. И система микросегментации для виртуальной среды», — рассказал Павел Коростелев.
При этом он отметил, что каждый из этих компонентов имеет свое четкое место. Так, Firewall — это всегда жесткий контроль, это изоляция приложений, потому что FW стоит, как правило, на периметре сети. TLS сервер сконцентрирован на удаленных пользователях и, как отдельно добавил спикер, «даже локальные пользователи через TLS серверы должны бы ходить». Для тех пользователей, доступ которых очень важно контролировать, и в тех случаях, когда нет возможности поменять сетевую топологию — Host Network Access предлагает гибкий контроль, и это работа с пользователями. А система микросегментации нужна когда необходим гибкий контроль и есть очень много приложений. Единственная проблема с виртуализацией, по словам Павла Коростелева, что она очень непостоянная, в ней все время что-то меняется, настройки FW нужно обновлять очень быстро и при этом это нельзя делать вручную, а это необходимо делать автоматически.
«Все это вместе позволяет концепцию Zero Trust Networking организовать», — подытожил спикер.
Про что еще надо помнить?
Однако не все так просто, и при выборе продуктов для Zero Trust Networking необходимо учитывать следующие моменты. Остается проблема форм-фактора удаленных рабочих мест.
Это могут быть корпоративные ноутбуки, домашние компьютеры пользователей и так далее, и у каждого из этих вариантов есть свои собственные плюсы и минусы. Также стоит помнить о сегментации в облаках, потому что, как отметил спикер, «совершенно не факт, что то, что вы хотите поставить туда виртуалку FW — это правильный подход, иногда удобнее использовать их собственные средства». Еще Павел Коростелев упомянул «приземление» идентификаторов компрометации в средства защиты, а не в SIEM. По его словам, здесь тоже есть свои сложности, в том числе вопрос быстрого устаревания индикаторов. Также есть проблема сегментации виртуальной среды, так как очень сильно повышаются требования к безопасникам. И еще один момент — влияние на сетевую топологию и обеспечение непрерывной работы корпоративных приложений.
Вместе с тем стоит отметить, что весь подход Zero Trust Networking подходит лучше всего для организаций с большими инфраструктурами.
«Я бы сказал, что это регулируемые организации. И я бы сказал, что это должна быть большая инфраструктура, то есть 500+ пользователей. Если это ниже, там этот подход будет избыточен. У нас там четыре продукта так или иначе, они могут скомбинированы определенным образом, но это требует довольно серьезной архитектуры», — сказал Павел Коростелев.
«И того. Все усложнилось. Каждый год это можно повторять, и оно все усложняется. Далее, самое важное, для гарантии безопасной работы в современных условиях нам всех пользователей надо считать удаленными. То есть все пользователи должны пользоваться VPN без относительно того, где они находятся. И хотя абсолютной защиты добиться невозможно, повысить ее до приемлемого уровня вполне реально», — заключил спикер.
.jpg)