VPN и Zero Trust

В 2013 году Target потеряла 40 миллионов кредитных карт - атакующие проникли через HVAC-подрядчика, имевшего доступ к корпоративной сети для мониторинга температуры. В 2020 году SolarWinds распространил backdoor через legitimate обновление - заражено 18 000 организаций включая US Treasury и CISA. В 2023 году MGM Resorts потеряла $100M за неделю - социальная инженерия через helpdesk дала atticker один пароль, и из него развернулся ransomware на всю инфраструктуру. Все эти атаки имеют общее: началось внутри 'доверенной' сети, где VPN с MFA и firewall на периметре бесполезны. Эта проблема ускорила переход с castle-and-moat к zero trust - архитектуре, где каждый запрос аутентифицируется заново и доступ выдаётся гранулярно. WireGuard, BeyondCorp, SASE - инструменты этой новой модели.

• **Target Breach (2013)**: 40M кредитных карт, атака через HVAC-подрядчика с доступом к сети - класcический lateral movement
• **SolarWinds (2020)**: backdoor в legitimate обновлении, 18 000 организаций включая правительственные - supply chain attack изнутри периметра
• **Google BeyondCorp (2014)**: первая production zero-trust архитектура; Google полностью отказался от внутреннего VPN
• **WireGuard в Linux Kernel (2020)**: 4 000 строк crypto code заменили IPsec с его 600 000 строк - сдвиг к simplicity в crypto
• **Cloudflare Access / Zscaler ZPA**: SASE-провайдеры с 200+ глобальных PoPs, обслуживающих Fortune 500 без backhaul

VPN-протоколы: IPsec, OpenVPN, WireGuard

В 1995 году IPsec был принят как стандарт IETF и до сих пор остаётся доминирующим протоколом site-to-site VPN. OpenVPN (2001) добавил гибкость через user-space реализацию и работу через TLS. **WireGuard** (Jason Donenfeld, 2016, в ядре Linux с 2020) - радикальный пересмотр: 4 000 строк кода против 600 000 у IPsec, фиксированный набор криптопримитивов (Curve25519, ChaCha20-Poly1305, BLAKE2s), отсутствие переговоров алгоритмов. WireGuard измеряется в латентности (handshake за 1 RTT) и throughput (близко к raw NIC), что сделало его выбором по умолчанию для нового кода. IPsec остаётся в enterprise из-за inertia и certifications (FIPS-140-2), OpenVPN сохраняется на legacy-инсталляциях.

Сравнение протоколов на типовом VPS-узле: WireGuard 800-1000 Mbps single-stream, IPsec (esp-aes-gcm) 600-800, OpenVPN 200-400 (TLS overhead + user-space). Handshake: WireGuard 1 RTT, IPsec IKEv2 2 RTT, OpenVPN 3-4 RTT (TLS handshake + auth). Crypto-agility: IPsec/OpenVPN поддерживают много алгоритмов через переговоры (источник misconfiguration), WireGuard - hardcoded current best practice. Для personal/SOHO VPN WireGuard выбирают почти всегда; для enterprise с compliance - IPsec через коммерческие appliances (Cisco, Palo Alto).

Lesson из IPsec misconfiguration: переговоры алгоритмов в IKEv1 позволяли downgrade-attack на DES + MD5 если клиент-серверы поддерживали разные suites. IKEv2 закрыл часть проблем, но complexity остаётся. WireGuard избегает целого класса атак через отсутствие переговоров - один шифр на версию протокола.

Zero Trust: 'never trust, always verify'

Классическая модель безопасности 1990-2010 - **'castle and moat'**: укреплённый периметр (firewall, VPN, IDS) защищает мягкую внутренность. Кто внутри сети - тот доверенный. Атаки последних 15 лет показали, что это допущение неработоспособно: фишинг даёт злоумышленнику credentials легитимного сотрудника, supply chain attacks (SolarWinds 2020) дают доступ изнутри через обновление, lateral movement позволяет одной скомпрометированной машине стать плацдармом для всей сети. **Zero Trust** (термин Forrester 2010, Google BeyondCorp 2014, NIST SP 800-207 в 2020) переворачивает модель: никто не доверен по умолчанию, каждый запрос аутентифицируется и авторизуется заново на основе identity, контекста устройства, поведенческих сигналов.

BeyondCorp Google - первая production-реализация: вместо VPN сотрудник Google открывает любое внутреннее приложение через интернет; identity-aware proxy проверяет сертификат устройства + identity + риск-score и решает выдать ли доступ. NIST 800-207 формализует 7 принципов: continuous verification, least privilege, micro-segmentation, encrypted everything, telemetry-driven decisions. Practical zero trust сегодня - не один продукт, а архитектурный сдвиг: identity-aware access (Cloudflare Access, Zscaler ZPA), device posture (CrowdStrike, Tanium), service-mesh для east-west (Istio, Linkerd с mTLS).

Сегментация и micro-segmentation

Target в 2013 году потеряла данные 40 миллионов карт - злоумышленники вошли через HVAC-подрядчика, имевшего доступ к сети для мониторинга, и оттуда добрались до POS-терминалов. **Network segmentation** - архитектурная защита от такого lateral movement: сеть делится на изолированные сегменты, между которыми пропускается только явно разрешённый трафик. **Macro-segmentation** через firewall и VLAN - 1990-е, грубая (DMZ vs internal). **Micro-segmentation** - 2010-е - до уровня workload или процесса: каждый POD в Kubernetes имеет свою NetworkPolicy, каждая VM - свой security group, east-west трафик контролируется как north-south.

Инструменты micro-segmentation: **Kubernetes NetworkPolicy** (Cilium, Calico) на уровне POD; **VPC Security Groups** (AWS/GCP/Azure) на уровне VM; **service mesh** (Istio AuthorizationPolicy, Linkerd) на уровне service-to-service с mTLS; **east-west firewall** (Palo Alto, Illumio) для гибридных сред. Default deny - стандартная практика: всё запрещено, кроме explicit allow. Это инвертирует традиционный 'allow внутри / deny снаружи' и устраняет implicit trust между внутренними системами.

SASE: конвергенция сетевого и security стека

**SASE** (Secure Access Service Edge, термин Gartner 2019) - архитектура, объединяющая сетевые функции (SD-WAN, маршрутизация) и security functions (firewall, secure web gateway, ZTNA, CASB, DLP) в единый cloud-native сервис, доставляемый с edge-узлов мирового масштаба. Идея: вместо traffic backhauling через корпоративный data center с stack appliances каждый пользователь идёт напрямую к SASE-точке (PoP) в 10-30 мс, где применяются все policies. Лидеры рынка: Zscaler, Cloudflare, Cato Networks, Palo Alto Prisma. SASE - не один продукт, а архитектурный паттерн convergence двух исторически отдельных рынков.

Компоненты SASE: (1) **SD-WAN** - software-defined wide area network, оптимальная маршрутизация между офисами и облаками; (2) **SWG** (Secure Web Gateway) - URL filtering, malware inspection; (3) **CASB** (Cloud Access Security Broker) - контроль над SaaS-приложениями (DLP, sharing rules); (4) **ZTNA** (Zero Trust Network Access) - identity-aware access, замена VPN; (5) **FWaaS** - cloud firewall; (6) **DLP** - data loss prevention. Всё это - один control plane, один agent на endpoint, один integrated dashboard. SASE решает managerial fragmentation: до этого компания имела 8-12 отдельных security appliances с независимыми politiks.

Ключевые идеи

• **WireGuard** - современный стандарт VPN: 4 000 строк vs 600 000 у IPsec, фиксированный crypto suite, 1 RTT handshake, в Linux ядре
• **Zero Trust** - архитектурный сдвиг: 'never trust, always verify', granular per-request authorization вместо binary VPN access
• **Micro-segmentation** через Kubernetes NetworkPolicy или Service Mesh ограничивает lateral movement даже после компрометации одного workload
• **SASE** - конвергенция сетевого и security стека в cloud-native сервис на edge: SD-WAN + SWG + CASB + ZTNA + FWaaS + DLP в одном control plane
• **Все эти подходы** - реакция на одну общую проблему: периметр failed, threats приходят изнутри (supply chain, social engineering, insider compromise)

Связанные темы

VPN и Zero Trust продолжают линию сетевой безопасности от sec-13 (DNS), пересекаясь с identity, криптографией и cloud-инфраструктурой:

• DNS-атаки и защита — DNS - первый шаг в zero-trust pipeline: identity-aware proxy резолвит через DoH/DoT, защищая от DNS-spoofing и threat intel filtering
• JWT, OAuth 2.0, OpenID Connect — Identity-aware access в zero-trust полагается на JWT/OIDC tokens, выпускаемые SSO (Okta, Azure AD) и проверяемые на edge proxy
• Аутентификация и авторизация — Zero trust = continuous authorization; per-request RBAC/ABAC на каждый ресурс с контекстом (geo, device posture, time)

Вопросы для размышления

• Target, SolarWinds, MGM - все начались внутри периметра. Какой ещё attack vector остаётся, когда вы внедрили zero trust полностью?
• WireGuard отказывается от crypto-agility, обещая 'смену версии при необходимости'. Что произойдёт, когда Curve25519 будет сломан? Является ли это приемлемым риском?
• SASE даёт single control plane и low latency, но создаёт vendor lock-in и privacy concerns (третья сторона видит весь трафик). Как балансировать эти trade-offs для enterprise?

Связанные уроки

• sec-13 — DNS-атаки - частая причина перехода на Zero Trust
• cloud-10 — VPC изоляция в облаке реализует тот же принцип Zero Trust
• cloud-10 — IAM в облаке и Zero Trust принципы - одна философия
• crypto-16-aead — VPN использует AEAD шифрование для туннелей
• sec-15 — Zero Trust открывает путь к Identity-based security
• net-44-zero-trust