Журнал "Information Security/ Информационная безопасность" #2, 2026

• 1 www.itsec.ru Zero Trust – не доверяйте никому! Все мы знаем, что такое Zero Trust – никому не доверять, обнулить любое априорное доверие. Однако на самом деле Zero Trust ничего не обнуляет, а просто перекладывает доверие, образно говоря, из одного кармана в другой. Раньше все было просто. Если ты внутри периметра – значит свой. Но со временем выяснилось, что своим тоже нельзя верить. Тогда родилась новая идея: поскольку периметр умер и доверять кому-либо опасно, то проверять будем каждый чих. Но для этого нужно создать новый центр, который будет этим заниматься. И вот этому новому центру придется абсолютно доверять. Давайте посмотрим повнимательнее, на чем архитектурно держится Zero Trust. Первое – это система идентификации. Ты не можешь войти, пока не докажешь, что ты – это ты. Но кто подтвер- ждает, что ты доказал? Каталог пользователей, Identity Provider, который говорит, мол, "это свой". Если злоумышленник каким-либо образом получает права администратора в этом каталоге, Zero Trust мгновенно превращается в Zero Resistance. Доверие не обнулилось, а просто переехало из периметра в связку "логин-пароль-токен", которую решили считать более надежной. Вторая основа – конечное устройство. Zero Trust по умолчанию не доверяет условному ноутбуку, ведь он может быть скомпрометирован. Для проверки ставится агент – например, EDR. Мы доверяем этому агенту? А как же! Мы доверяем, что его не отключили, что он не ошибается. Дове- ряем вендору, который написал его код и вовремя обновил базы сигнатур. Это совсем не нулевое доверие. И третье – Policy Engine, мозг доверия, который каждую секунду решает: пускать или не пускать. Мы доверяем людям, которые написали эти правила, коду, который их исполняет, данным, которые поступают на вход. Если на этом этапе возникает ошибка, система будет уверенно резать доступ легитимным сотрудникам и так же уверенно пропускать злоумышленников, потому что так написано в политике. В итоге Zero Trust, выражаясь образно, собирает все ключи в одну связку и вешает на нее табличку "Центр управления доверием, вход строго по пропускам". Для злоумышленника это подарок. Не надо гадать, где лежат секреты. Взломай IdP – и вся система будет твоей. Впрочем, это не повод отказываться от Zero Trust. Это рабочая концепция, она и правда снижает хаос. Но нужно назвать вещи своими именами: Zero Trust – это не обнуление доверия, это его централизация. Задача информационной безопасности – не избавиться от доверия, а понять, где именно оно лежит, и защищать эти точки. Просто раньше мы не знали, где эти точки, а Zero Trust их нам подсветил – и это прогресс. Zero Trust никого автоматически не делает неуязвимым. Но если защищать то, чему он заставляет доверять по-настоящему, – шансов выжить станет заметно больше. Амир Хафизов, выпускающий редактор журнала “Информационная безопасность”