Справочная информация: в конце ноября 2021 г. состоялся эфир «Код ИБ. Безопасная среда», тема показала свою востребованность, со стороны заказчиков есть понимание, что в формате, когда периметр размыт, его сложно контролировать, именно концепция zero trust (или нулевое доверие к рабочим местам) оказывается, своего рода, выходом из положения. Именно об этом говорили Код ИБ с руководителем направления информационной безопасности компании “ИТ-Экспертиза” Семёном Жейда. Начало интервью опубликовано здесь.
Код ИБ: Насколько концепция ZT сейчас распространена в России и насколько быстро она будет развиваться, на ваш взгляд?
СЖ: В этом направлении смотрит всё больше как крупных корпораций, так и более мелких компаний. Есть организации, которые уже достаточно давно использовали эту концепцию, хоть и не называли её так. Например, есть государственные учреждения, корпорации, которые уже достаточно давно используют VPN даже внутри своего контура. То есть, даже если человек прошёл через пропускной пункт, используя личный пропуск и зашёл в свой кабинет, он всё равно при включении своего рабочего компьютера включает на нем VPN. Но на этом направлении есть свои ограничения, в том числе связанные с импортозамещением. У западных вендоров есть такие [работающие по концепции zero trust] продукты, один из самых известных – CISCO AnyConnect. Это реализация zero trust «из коробки». Сейчас ZTNA (zero trust network access) заключается в том, что каждый пользователь, каждое устройство при подключении к корпоративным ресурсам должны быть проверены. По нужным критериям проверяется комплаенс безопасности и если пользователь, подключение, устройство отвечает всем критериям, то они допускаются к работе в системе. Если же выявлены какие-то нарушения, то допуска к работе в системе нет до устранения этого нарушения. Таким образом ограничиваются возможные угрозы. Так, в CISCO эта возможность встроена в VPN.
Код ИБ: CISCO – это западный вендор, как быть российским компаниям, которые сейчас не могут пользоваться западными решениями?
СЖ: Такие системы в России есть, они работают. Например, наше решение САКУРА в этом смысле одно из передовых на российском рынке. Моё мнение – на рынке информационной безопасности с импортозамещением всё вообще обстоит более благополучно, чем в других сферах ИТ.
Код ИБ: Когда мы говорим о концепции zero trust – это в большей степени про оборудование? Или нужно существенно перестраивать бизнес-процессы? Какая последовательность?
СЖ: Как правило, решается вопрос комплексно. Нужны и изменения в оборудовании, и перестраивание процессов доступа. Здесь отдельно встаёт вопрос внедрения. Выстраивание ZTNA предполагает целый комплекс мероприятий. Это и внедрение двухфакторной авторизации, и мониторинг пользователей, и микросегментация, и управление доступом к приложениям. Автоматизация и аналитика.
Код ИБ: Если говорить о сроках – если мы решили внедрять у себя концепцию zero trust, то с момента принятия такого решения и до момента запуска такой системы в эксплуатацию занимает недели, месяцы, годы?
СЖ: зависит от подхода и от выбора того «куска», который компания «сможет проглотить». Я рекомендую внедрять сервисы последовательно. Первое – мы проверяем пользователей и устройства, но сама проверка ни к чему не приведёт. Нужно научиться управлять доступом пользователей и приложений. Вот с этих моментов и стоит начать. Проверка пользователей, проверка окружения, проверка доверия и управление доступом – такой должна быть последовательность, по моему мнению. И внедрение, в зависимости от размера компании, может занять от двух-трёх недель.
Код ИБ: А что делать с AD? Как микросегментировать Active Directory?
СЖ: С Active directory история, конечно, не такая простая. Конечно, можно выстроить «деревья», доменные леса, но это достаточно сложно. Как правило, всё зависит от заказчика. У некоторых заказчиков есть несколько разных непересекающихся доменов и это можно тоже считать микросегментацией. Если злоумышленник получил доступ к одному домену, он не получает автоматического доступа к другому. Конечно, есть сервисы, которые работают на компанию в целом, и если скомпрометирован такой сервис, то он будет скомпрометирован в рамках всей компании. И здесь основная задача - чтобы эта компрометация не “перекинулась”на другие сервисы компании.
Код ИБ: А существуют ли какие-то “подводные камни” при переходе на zero trust? Что нужно учесть, о чём в первую очередь подумать, чтобы процесс прошёл максимально беспроблемно?
СЖ: Во-первых, нужно определиться, для чего это нужно компании. Обычно, если говорить о России, внедрение ZTNA означает, что компания хочет обеспечить безопасный доступ удалённых сотрудников, вендоров, интеграторов - иными словами, всех, кто подключается не из контура организации. Если такая цель есть, далее методы известны. У зарубежных вендоров такая практика максимально подробно описана, у российских вендоров это также есть, мы можем рассказать и показать, с чего начать.
Основные “грабли”, на которые можно в данном случае наступить - организационные. Внедряемые компанией ограничения будут распространяться на всех пользователей. Есть требования к безопасности, и они должны выполняться для всех - от руководителя организации до рядового сотрудника. Все участники процесса должны понимать, что после внедрения ZTNA они смогут получать доступ к ресурсам только после прохождения верификации, всех проверок. В России очень распространена история, когда “у меня что-то не работает, мне срочно нужен доступ, сделайте исключение”. Такой подход не сработает, чтобы концепция могла применяться и заработала на практике, нужны одинаковые условия для всех.
Технологически всё решается достаточно просто. Расскажу на примере из практики. Сейчас уже все, наверное, сталкивались с “удалёнкой” и проверкой через VPN. VPN не подразумевает какой-то проверки пользователей (хотя такая возможность есть в CISCO Anyconnect, есть подобный сервис у PaloAlto). Как правило, человек приходит домой с рабочим (или личным) компьютером, запускает VPN и получает доступ ко всей сети, сидит и выполняет свою работу. Когда мы говорим о внедрении концепции zero trust, мы накладываем дополнительные проверки на уже имеющийся VPN. Пользователь должен не просто подключиться из дома, но и пройти перед этим проверку - двухфакторную аутентификацию, проверку актуальности версии антивируса, актуальность версии операционной системы и т.д. Только при условии прохождения этих проверок пользователь может подключиться к системам компании. Эти проверки должны быть непрерывными.
Код ИБ: На словах кажется, что всё легко. Почему же эта концепция пока не очень популярна? Компании опасаются, не хотят заморачиваться, в чем причина?
СЖ: Есть несколько причин. С одной стороны, есть компании малого и среднего бизнеса, где немного удалённых сотрудников и ими вполне можно управлять в ручном режиме силами сисадмина или администратора безопасности, который отслеживает отклонения, подключается к пользователю и исправляет. С другой стороны, в крупных корпорациях любые изменения происходят крайне медленно. Им нужно пройти бюрократические процедуры и согласования даже для начала пилотного проекта. Сам переход на удалённый формат работы стал для таких компаний вызовом. Если в компании работает 100 человек, то переход на удалёнку не вызывает большой проблемы. Если же в компании тысячи человек, и для самого удалённого доступа у компании не было достаточных ресурсов - это сложно. Первый год пандемии компании решали именно этот вопрос - сам переход на удалённый формат работы, и уже после этого приходят к тому, что эту удалённую работу нужно вести системно, в том числе и с точки зрения безопасности.
Код ИБ: Возможно, у вас есть какие-то рекомендации для наших слушателей? Какие первые шаги стоит предпринять, что учесть?
СЖ: Первые самые простые шаги - изучить свои потребности и практики, существующие на рынке. Сопоставить то, что нужно вашей компании, с тем, что уже делают успешно другие организации, и что предлагают вендоры. Буквально ввести в поисковике слова “зеро траст” и пойти к кому-то из вендоров, которые предлагают внедрение этой концепции. Можно и своими силами реализовать - но это вопрос сроков, денег, качества. Быстро и эффективно сделать лучше силами вендора. Но если рассматривать внедрение силами компании на основе open source, то можно взять, например, Teleport или решение Boundery от Hashport. Решений достаточно много, вопрос в том, насколько можно в компании применять иностранные и опенсорсные решения. Российских же (даже коммерческих) решений крайне мало, а опенсорсных совсем нет. Мы делаем это в своем решении, есть ещё пара вендоров, которые работают в концепции zero trust.