Концепция нулевого доверия – основа системы защиты ИТ-инфраструктуры

Исторически, при создании инфраструктуры, любая организация подходила к вопросу защиты информации, условно, как к крепости, т.е. существовал периметр, окружённый стеной, всё что находилось внутри: станции, рабочие сервера – доверенное.

Ещё десять лет назад этот подход прекрасно справлялся с поставленными задачами. Проблемы начали появляться, когда потребовалось обеспечивать доступ к приложениям из Интернета, а также удалённый доступ пользователей к внутренним сервисам. Для решения вопросов защиты инфраструктуры появилась концепция «демилитаризованной зоны», когда существовало некоторое количество приложений доступных из Интернета, но отделённых от внутренней инфраструктуры. Если такие приложения были скомпрометированы, они никак не могли повлиять на безопасность внутренней инфраструктуры в целом.

 

СЕГМЕНТАЦИЯ – ЗАМЕЧАТЕЛЬНО, НО ДОРОГО…

С приходом в нашу жизнь новых технологий появилась необходимость удалённой работы пользователей, которые находятся за пределами нашего периметра и им необходимо получать прямой доступ к своим приложениям. Были созданы VPN-шлюзы и VPN-клиенты – системы защищённого удалённого доступа, обеспечивающие доступ внутрь периметра.  Также появилась концепция сегментации, при которой сетевая инфраструктура разделялась на несколько частей по критерию значимости, например, пользователи отделяются от серверной инфраструктуры. Однако, если снаружи поставить межсетевой экран стоило сравнительно недорого, потому что пропускная способность интернет-канала не должна быть высокой, то внутренние требования к пропускной способности межсетевого экрана очень высокие, его же стоимость вырастала экспоненциально. Именно поэтому концепция сегментации, при всей её очевидной необходимости, далеко не всегда реализовывалась. Компания «Код безопасности» недавно проводила исследование, по которому 68% респондентов утверждает, что сегментация – это один из ключевых подходов к обеспечению безопасности ИС, но при этом очень дорого, опасно и снижает надёжность современных ИТ-инфраструктур.

 

РАЗРУШЕНИЕ ПЕРИМЕТРА

Ещё один сложный момент заключался в том, что часть приложений перемещается из корпоративных ЦОДов в публичное облако, а значит концепция, когда мы доверяем всему, что находится внутри и не доверяем всему, что находится снаружи, больше не работает. Разрушение периметра сети вызвало много изменений и стало необходимо разработать новые подходы к кибербезопасности.

 

КАК ОБЕСПЕЧИТЬ ДОВЕРИЕ?

Концепция нулевого доверия как раз и стала одной из самых популярных технологий безопасности, демонстрирующая растущий интерес в отрасли. Данная концепция предлагает способ проектировать безопасность в сердце бизнес-процессов, увязывая человека с технологией. Использование концепции нулевого доверия создаёт прочную основу для проектирования безопасной ИТ-инфраструктуры. Эта основа состоит в том, чтобы обеспечить доверие путём проверки ваших пользователей и устройств, а также динамического анализа их состояния. Таким образом, отсутствие периметра не имеет значения, поскольку создаётся новый микропериметр, который более точно отражает современное движение данных.

Принадлежность к тому или иному периметру в этом случае определяется не сетевым адресом, а совокупностью успешных проверок на соответствие требованиям безопасности.

 

ЧЕТЫРЕ СЦЕНАРИЯ

Нулевое доверие основано на предпосылке, что злоумышленники существует как внутри сети, так и за ее пределами, поэтому автоматически нельзя доверять ни одному пользователю или устройству, и здесь можно выделить четыре сценария.

Первый — защита внешнего периметра сети. В этом сценарии необходимо защитить сеть от атак из интернета, обеспечить контроль доступа пользователей в интернет и защитить их от вредоносных сайтов. К этому же сценарию относится создание защищённых каналов связи с использованием российских алгоритмов.

Второй — внутренняя сегментация сети. Здесь необходима очень высокая производительность и способность работать с очень подробной политикой безопасности без падения производительности.

Третий — микросегментация виртуализованной сети. Это отдельный кейс, связанный с высокой изменчивостью виртуальной среды и необходимостью создавать виртуальные сегменты на «атомарном уровне» — уровне одной или нескольких виртуальных машин. И, опять же, без влияния на пропускную способность или топологию сети. Высокая изменчивость инфраструктуры приложений в этом кейсе требует исключительно высокой гибкости при управлении доступом.

Четвёртый — на уровне пользователей имеет смысл реализовать механизм нулевого доверия при подключении к серверу. В этом случае на уровне рабочих станций перед разрешением подключиться к серверу приложений мы проверяем пользователя, компьютер, с которого он подключается и приложение, которое он использует. Если хотя бы одно из этих условий не соблюдается — пользователь не получит доступа к серверу.

Комбинация этих сценариев значительно затруднит проникновение, а также горизонтальное распространение злоумышленника в локальной сети. Чем сложнее будет злоумышленнику проникать из сегмента в сегмент, тем больше шансов у компании его остановить.

Все эти сценарии можно реализовать с помощью набора продуктов компании «Код безопасности». Континент 4 – Первый российский многофункциональный межсетевой экран (UTM) с поддержкой шифрования по российским алгоритмам ГОСТ, Secret Net Studio и ПАК «Соболь» - комплексное решение для защиты рабочих станций и серверов от несанкционированного доступа со встроенным межсетевым экраном уровня хоста и авторизацией сетевых соединений, а также vGate – средство микросегментации сегментации частного облака, контроля активности администратора виртуальной среды и контроля соответствия настроек безопасности частного облака требованиям регуляторов.

На самом деле нулевое доверие — это динамический анализ уровня безопасности и адаптивная настройка политики доступа в зависимости от этого уровня. Внедрение этого подхода обеспечивает защиту ИТ-инфраструктуры, минимизирует количество инцидентов ИБ и повышает скорость локализации все же случившихся инцидентов. В свою очередь, это является залогом безопасной цифровой трансформации финансовых организаций.

Павел Коростелев -- Руководитель отдела продвижения продуктов («Код безопасности»)

BIS Journal №1(36)/2020

5 марта, 2020

Смотрите также