Справочная информация: в конце ноября 2021 г. состоялся эфир «Код ИБ. Безопасная среда», тема показала свою востребованность, со стороны заказчиков есть понимание, что в формате, когда периметр размыт, его сложно контролировать, именно концепция zero trust (или нулевое доверие к рабочим местам) оказывается, своего рода, выходом из положения. Именно об этом говорили Код ИБ с руководителем направления информационной безопасности компании “ИТ-Экспертиза” Семёном Жейда.
Часть 1. Концепция Zero Trust
Код ИБ: Что такое Zero Trust? Поясните для тех, кто не знает, что это.
СЖ: На Западе об этой концепции говорят достаточно давно, в России начали использовать лет пять назад, но это были больше теоретические рассуждения, чем попытки практического применения. С приходом пандемии (в 2020 г.) zero trust (сама концепция нулевого доверия) и Zero Trust Network Access (сетевой доступ c нулевым доверием) как технология помогает справляться с угрозами и выстраивать безопасную инфраструктуру в рамках распределённых информационных ландшафтов.
Это концепция, при которой владелец информации не доверяет никому и ничему и должны проверять любое устройство и процесс, которые получают доступ к информации. Истории возникновения этой концепции разные, но в открытых источниках первое упоминание было зафиксировано в 1994 году в США как теоретическая концепция, которая применяла понятие «доверие» в человеческом понимании к информационным системам и информационной безопасности. Если можно определить критерии, по которым можно доверять людям, значит, возможно определить критерии, по которым мы доверяем устройствам и процессам. В начале 2000-х годов эта концепция перешла из чисто теоретической в практическую плоскость. На конференции в 2004 году было введено понятие «периметризация», то есть распределение как пользователей и устройств, так и систем в определённом периметре или вне его. Все пользователи и устройства внутри периметра – по умолчанию доверенные (проверенные). Например, человек вошёл по пропуску, затем ввёл логин и пароль от своего компьютера – значит, это довернный пользователь.
С введением таких понятий как распределённая инфраструктура и удалённый пользователь, тема периметра стала переосмысливаться. Впервые формулировка zero trust появляется в 2010 году, когда её применил аналитик агентства Forrester Research. Это понятие было, в первую очередь, связано с тем, чтобы весь сетевой трафик признать недоверенным (по умолчанию не доверяем), и при любом подключении, при любой попытке доступа нужно проверять источник доступа и сам трафик, и только после проверки предоставлять доступ к нужным ресурсам и компонентам. Любой запрос должен быть безопасен.
Код ИБ: Кто начал активно применять эту концепцию?
СЖ: Первые практические применения этой истории возникли в Google. В 2010-х годах были масштабные атаки китайских хакеров на американские ресурсы, так называемая «операция «Аврора». Это был и фишинг, и трояны, и уязвимости zero day, с помощью которых были атакованы многие компании, Google был одной из основных целей атак. Главное, чем воспользовались – компрометация учётных данных пользователей. Компрометация одной учётной записи приводит к тому, что можно получить доступ ко многим внутренним ресурсам. Злоумышленники могли получить и исходные коды, и много чего интересного. Нужно было каким-то образом централизованно и универсально защищать доступ к данным – если злоумышленник получал доступ к одному ресурсу, он не должен был получить доступ ко множеству этих ресурсов. Google выпустил свой фреймворк. Основные его идеи: 1) отказ от VPN, любой доступ из любой сети проверяется одинаково, 2) доступ ограничивается тем, что мы знаем о пользователе и его окружении: если устройство и данные пользователя проверены, то он получает полный доступ, если проверен пользователь, но скомпрометировано устройство – это другой уровень доступа и так далее, 3) доступ должен быть аутентифицирован, авторизован и зашифрован. После этого американский Институт стандартов и технологий выпустил стандарт Zero Trust. Сейчас этим стандартом руководствуются более 20 вендоров (такие как Amazon, Palo Alto, CISCO и другие).
Код ИБ: А как с этим обстоят дела в российских компаниях?
СЖ: В России подход немного другой. Если в США упомянутые вендоры уже давно и много работают с «облаками», с распределённой инфраструктурой, т.е. системы могут располагаться в разных местах, то в России все системы, как правило, находятся on-premise. У нас тоже есть примеры перехода в «облака» и этот тренд является нарастающим, но чаще всего это частные «облака» и это касается только данных. Если же говорить о системах безопасности, то в России «облачных» систем ИБ вы практически не найдёте. Поэтому, если западный подход больше про защиту распределённых ресурсов и управление доступом к таким ресурсам, то в России это подход к распределённым пользователям. Наверное, основное отличие в этом.
Продолжение следует…