Журнал "Information Security/ Информационная безопасность" #3, 2021

ны внутренних систем. Использование VPN и брандмауэров может породить чрезмерную уверенность в уровне сете- вой безопасности. По прогнозу Gartner 1 , к 2023 г. до 60% предприятий откажутся от VPN в пользу другой архитектуры – сетевого доступа с нулевым доверием, или ZTNA. Эпоха нулевого доверия и ZTNA Проблемы, связанные с VPN, помогли осознать потребность в модели без- опасности, которая не будет позволять доверенным пользователям свободно перемещаться по корпоративной сети. Удовлетворить эту потребность призвана модель безопасности нулевого доверия (Zero Trust) – концепция, первоначально предложенная компанией Forrester. Модель нулевого доверия, одобренная такими влиятельными организациями, как Министерство обороны США 2 , рабо- тает по принципу "Никогда не доверяй, всегда проверяй". Таким образом, эта модель позволяет реализовать сцена- рий, при котором необходимый минимум прав доступа к нужному приложению в нужной роли при каждой попытке доступа получают только соответствую- щие лица. В идеале при этом доступны встроенные в сами приложения элемен- ты контроля, а также возможность отсле- живания деятельности пользователей после входа в систему. Модель Zero Trust – это скорее образ мышления или новая парадигма, нежели конкретный инструмент. Принцип нуле- вого доверия не реализуется как отдель- ное решение. Модель нулевого доверия обладает такими особенностями, как: l принцип ограниченного доступа на уровне отдельных приложений; l аутентификация каждого отдельного устройства и пользователя независи- мо от того, где они находятся; l признание сложного характера совре- менных сетей и отсутствие допущений иного. Модель нулевого доверия сложно раз- вернуть, но тем не менее рано или позд- но большинство организаций перейдут на нее. В документе Министерства обо- роны США 3 поясняется, что "модель Zero Trust допускается внедрять посте- пенно, группа за группой или приложе- ние за приложением, но при этом всегда следует учитывать удобство работы для конечных пользователей". Грамотный подбор инструментов помо- жет значительно упростить и ускорить переход на архитектуру с нулевым дове- рием. Аналитическая компания Gartner рас- ширила концепцию нулевого доверия, определив архитектуру под названием "Сетевой доступ с нулевым доверием" (Zero Trust Network Access, ZTNA). Ком- пания дает следующее определение ZTNA 4 : "Сетевой доступ с нулевым доверием (ZTNA) – это продукт или услуга, которые создают вокруг прило- жения или группы приложений логиче- скую границу доступа на основе иден- тификации и контекста". Проще говоря, службы ZTNA заме- няют разрешения сетевого уровня раз- решениями для конкретных приложе- ний. При этом применяется контроль доступа на основе идентификационной информации и контекстная аутенти- фикация, то есть учитываются группы пользователей или роли, многофак- торная аутентификация, IP-адреса, местоположения и временные ограничения. Приложения невозможно обнаружить, а доступ осуществляется через брокер доверия и ограничен четко заданной группой объектов На практике это может быть реализо- вано в облачном решении ZTNA-as-a- service (ZTNA как услуга), которое делает сеть невидимой из общедоступного сег- мента Интернета. По сути, такое реше- ние выступает в роли облачной демили- таризованной зоны, которая "скрывает" центр обработки данных. Брокер доверия разрешает или запрещает доступ к опре- деленным приложениям в каждом кон- кретном случае. Прежде чем разрешить доступ, брокер доверия проверяет личность, контекст и права доступа каждого пользователя, а также делает невозможным боковое перемещение в другие области сети При предоставлении доступа только к запрошенному ресурсу исключается риск атаки через боковое перемеще- ние, поскольку пользователи видят только те приложения, доступ к кото- рым им разрешен. Все остальные при- ложения оказываются скрыты для них (например, посредством персонализи- рованного портала, на котором доступ- ны только те приложения, к которым имеет доступ конкретный пользова- тель). Это позволяет скрыть приложения от сторонних наблюдателей и значительно уменьшить поверхность атаки Существует множество причин уско- рить переход к модели нулевого дове- рия. Компании уже испытывают про- блемы с сетью VPN по мере роста и перехода в гибридные и облачные среды, особенно когда работа из дома стала обычным делом. Не исключено, что многие уже размышляют над пере- ходом на модель нулевого доверия из соображений безопасности и соответ- ствия требованиям, чтобы обеспечить максимальную защиту активов органи- зации. Переход от сетевого доступа к доступу на уровне приложений Одним из инструментов, который может облегчить переход к модели нулевого доверия и современной сете- вой среде, является Harmony Connect Remote Access 6 от Check Point. Инстру- мент Harmony Connect Remote Access, который входит в решение Check Point на базе подхода SASE (Secure Access Service Edge) – Check Point Harmony Connect, призван устранить ограниче- ния существующих инфраструктур, предоставляя достойную альтернативу VPN, позволяющую реализовать сле- дующее: l переход от физического к логическому периметру доступа; l аутентификацию и авторизацию при каждой попытке доступа; l поддержку концепции BYOD и доступа для сторонних пользователей; l сокрытие центра обработки данных и сети (снижение риска бокового смещения и DDoS-атак путем сокры- тия сети и всех ресурсов, к которым явно не предоставлен доступ, с использованием облачного брокера доверия); l определение и применение разреше- ний в рамках приложений (управление политиками не только на уровне при- ложения, но и на уровне запросов и команд, включая, например, разре- шения на чтение, запись, админи- стрирование и т.д.); l полный контроль активности пользо- вателей (централизованный журнал аудита с возможностью интеграции SIEM позволяет всегда знать, какие приложения запускал тот или иной пользователь, какие действия он выполнял, а также поддерживает дополнительную возможность записи сеансов). l • 63 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.gartner.com/en/documents/3999828-2021-strategic-roadmap-for-sase-convergence 2 https://www.defense.gov/Explore/News/Article/Article/2431541/covid-related-telework-accelerates-disas-zero-trust-adoption/ 3 https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7972065/ 4 https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna- 5 https://www.checkpoint.com/harmony/connect-sase/clientless-remote-access/vpn-replacement/