Компьютерные сети

Zero Trust Network

В 2009 году китайские хакеры (Operation Aurora) взломали Google и украли исходный код. Они попали внутрь через targeted фишинг и свободно двигались по внутренней сети. Google отреагировал радикально: уничтожил понятие 'внутренняя сеть'. Так родился BeyondCorp.

  • **Google BeyondCorp** - 100K+ сотрудников работают без VPN. Каждый сервис доступен из интернета, защищён identity proxy. Нет разницы между офисом и кафе
  • **COVID и удалёнка** - компании с Zero Trust продолжили работу без изменений. Компании с VPN утонули в нагрузке - VPN concentrators не справлялись с 100% remote workforce
  • **SolarWinds (2020)** - хакеры проникли через supply chain и свободно перемещались внутри. У организаций с микросегментацией blast radius был минимален

Предварительные знания

  • Firewall: Wall of Fire
  • VPN: Virtual Networks

Zero Trust: философия

**Zero Trust** - модель безопасности, где нет доверенных зон. Традиционный подход: внутренняя сеть безопасна (castle-and-moat). Zero Trust: каждый запрос проверяется как будто пришёл из интернета. "Never trust, always verify".

**Почему периметр мёртв:** 1) Облака размывают границы сети. 2) BYOD и удалёнка - устройства везде. 3) Lateral movement - хакер внутри двигается свободно. 4) 80% взломов - изнутри (инсайдеры + compromised accounts).

**Принципы Zero Trust:** 1) Verify explicitly - проверяй user + device + context. 2) Least privilege - минимальные права. 3) Assume breach - проектируй как будто уже взломан. Blast radius минимизация.

Почему VPN не является решением Zero Trust?

Микросегментация

**Микросегментация** - разделение сети на мельчайшие зоны. Вместо сегментов (DMZ, Production, Dev) - каждый workload в своём периметре. Web-сервер может общаться только с API, API - только с DB. Даже если взломали Web - до DB не доберутся.

**Blast Radius** - зона поражения при взломе. Микросегментация минимизирует blast radius: compromised workload не может двигаться laterally. Атакующему нужно взламывать каждый сервис отдельно.

Что такое 'lateral movement' и как микросегментация с ним борется?

Identity-Based Access

**Identity-Based Access** - доступ на основе идентичности, не сети. Традиционно: "ты в VPN → доступ к серверу". Zero Trust: "ты = Alice из Engineering + устройство enrolled + MFA passed + геолокация OK → доступ к конкретному ресурсу".

**Context-Aware Access** - доступ зависит от контекста. Тот же пользователь с того же устройства может получить разный доступ: из офиса → полный доступ, из кафе → только чтение, из Северной Кореи → MFA + approval + readonly.

**Device Trust** - доверие устройству как identity. Устройство должно быть: enrolled в MDM, с актуальными патчами, с шифрованием диска, без jailbreak. Compromised device = нет доступа, даже если пароль правильный.

Инженер подключается с личного ноутбука. Что должна сделать Zero Trust система?

BeyondCorp: Zero Trust в действии

**BeyondCorp** - реализация Zero Trust от Google. После взлома Aurora (2009) Google перестроил всю инфраструктуру. Нет корпоративной сети, нет VPN. Все сервисы доступны через интернет, защищены identity proxy.

**Access Proxy (IAP)** - центральная точка входа. Все запросы идут через proxy, который проверяет identity + device + context перед пропуском к backend. Backend не открыт в интернет напрямую - только через proxy.

Zero Trust заменяет все средства безопасности (firewall, IDS, DLP)

Zero Trust - философия и архитектура поверх существующих инструментов

Zero Trust добавляет identity layer и контекстные проверки. Firewall всё ещё нужен для базовой фильтрации, IDS - для обнаружения аномалий, DLP - для защиты данных. Zero Trust организует их работу вокруг identity

Что произойдёт, если сотрудник Google потеряет ноутбук?

Итоги

  • **Zero Trust** = 'Never trust, always verify'. Нет доверенных зон. Каждый запрос проверяется независимо от источника
  • **Микросегментация** изолирует workloads друг от друга. Взлом одного сервиса не даёт доступ к остальным
  • **Identity-Based Access** - доступ на основе WHO (user) + WHAT (device) + WHERE (context), не на основе сети
  • **BeyondCorp** - Google's реализация. Все сервисы публичные, защищены Identity-Aware Proxy. VPN не нужен
  • **Device Trust** - устройство как identity. Потерял ноутбук = отозвали сертификат = нет доступа

Связанные темы

Zero Trust строится на основе традиционных security компонентов:

  • Firewall — Остаётся для базовой фильтрации, но не является границей доверия
  • VPN — Zero Trust делает VPN необязательным - identity proxy заменяет
  • mTLS — Mutual TLS обеспечивает identity на уровне соединений
  • Kubernetes NetworkPolicy — Реализация микросегментации в container среде

Вопросы для размышления

  • Как бы вы внедрили Zero Trust в организации с legacy системами, которые не поддерживают современную аутентификацию?
  • Почему большинство компаний всё ещё используют VPN вместо Zero Trust? Какие барьеры?
  • Может ли Zero Trust защитить от инсайдера с легитимным доступом? Какие дополнительные меры нужны?

Связанные уроки

  • sec-01
Zero Trust Network

0

1

Войти