Информационная безопасность
Security Architecture Design
Google BeyondCorp 2014. Решение: сотрудники Google работают из Starbucks так же безопасно как из офиса. Нет 'внутренней сети' - каждый запрос верифицируется: device managed? identity подтверждена? context нормальный? Это стало Zero Trust. SolarWinds атака 2020 подтвердила: периметральная безопасность мертва. Атакующие ВНУТРИ - единственный правильный assumption.
- SolarWinds 2020: firewall и AV были. Supply chain bypass + implicit trust = 9 месяцев незаметно. Zero Trust предотвратил бы lateral movement
- RSA Security 2011: один phishing email -> SecurID seeds -> Lockheed Martin compromise. Defense in Depth остановила бы на любом слое
- Google BeyondCorp: 10 лет Zero Trust в production. Сотрудники работают из любой сети без VPN. Template для индустрии
Defense in Depth: многоуровневая защита
2011 год. RSA Security. Сотрудник открыл фишинговое письмо (Excel с Flash exploit). Злоумышленники получили SecurID seed values. Затем атаковали Lockheed Martin используя скомпрометированные SecurID токены. Если бы у Lockheed была defense-in-depth: компрометация SecurID + аномальное поведение (нерабочее время, необычный IP) = алерт. Один слой защиты упал -> все остальные должны компенсировать.
NIST Cybersecurity Framework (CSF) 2.0: Govern -> Identify -> Protect -> Detect -> Respond -> Recover. Defense in Depth маппится на Protect (все слои) + Detect (SIEM) + Respond (IR). CSF - язык для коммуникации security с бизнесом: CISO объясняет CFO почему нужно 6 бюджетных статей, а не одна.
VPN единственный механизм защиты удалённого доступа. Проблема с точки зрения Defense in Depth?
Security Architecture: паттерны проектирования
Google BeyondCorp (2014). Внутренние сервисы Google стали доступны через интернет без VPN. Каждый запрос: device trust (managed device) + user identity (MFA) + context (time, location). Если всё ок -> доступ. Нет 'внутренней сети' с расширенным доверием. Атакующий на корпоративном Wi-Fi не получает дополнительных прав. BeyondCorp стал основой концепции Zero Trust. Архитектурное решение заменило периметральную безопасность.
SABSA и TOGAF - корпоративные фреймворки security архитектуры. На практике: NIST CSF для риск-ориентированного подхода. AWS Well-Architected Security Pillar и GCP Security Foundations Blueprint - готовые reference architectures с terraform. Начать с threat modeling, потом выбрать архитектурные контроли.
Микросервис нужен API ключ от базы данных. Где правильно хранить?
Zero Trust Architecture
2010 год. John Kindervag (Forrester) формализовал Zero Trust: 'never trust, always verify'. 2020: Executive Order Biden - федеральные агентства должны внедрить Zero Trust архитектуру. NIST SP 800-207 - стандарт Zero Trust. SolarWinds атака: атакующие имели 'доверенный' доступ как легитимное ПО. Zero Trust: каждый запрос верифицируется независимо от источника. Даже если атакующий внутри сети - каждый API вызов требует аутентификации и авторизации.
SPIFFE (Secure Production Identity Framework For Everyone) + SPIRE: стандарт для cryptographic service identity в cloud-native. Каждый workload получает SVID (SPIFFE Verifiable Identity Document) - X.509 сертификат с identity. mTLS между сервисами использует SVID. Rotation автоматическая. NIST SP 800-207 рекомендует SPIFFE для Zero Trust implementation.
VPN дал сотруднику доступ к внутренней сети. Нет доп. авторизации на внутренних ресурсах. Zero Trust нарушен как?
Threat Modeling: STRIDE и структурированный анализ угроз
Microsoft STRIDE (2002): Adam Shostack. Систематическая методология поиска угроз: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege. AWS использует threat modeling для каждого нового сервиса. Google: Security Design Reviews обязательны для новых фич. Threat modeling за час находит уязвимости которые стоят $100+ в production fix.
PASTA (Process for Attack Simulation and Threat Analysis) - более зрелая методология чем STRIDE: фокус на бизнес-риске. LINDDUN - для privacy threat modeling. Attack Trees - для specific attack scenarios. Threat modeling не разовое событие: каждое значительное изменение архитектуры = новый threat model review.
Security architecture - это firewall и антивирус
Security architecture - систематическое проектирование: threat modeling, defense in depth, zero trust principles, secrets management. Firewall и антивирус - два слоя из многих
SolarWinds: firewall был. Антивирус был. Но атакующие прошли через supply chain (доверенное ПО) и использовали implicit trust внутри сети. Zero Trust + threat modeling нашли бы эти векторы как угрозы при проектировании.
Payment service API. STRIDE Elevation of Privilege угроза. Какой контроль адресует её?
Итоги
- Defense in Depth: независимые слои. Swiss Cheese model. Провал одного слоя != провал всех
- Security Architecture паттерны: segmentation, least privilege, immutable infrastructure, dynamic secrets, audit everywhere
- Zero Trust: never trust, always verify. mTLS между сервисами. Per-resource authorization. SPIFFE для service identity
- STRIDE Threat Modeling: DFD + 6 категорий угроз. Каждая угроза -> контроль. Threat modeling дешевле чем production fix
Связанные темы
Security Architecture объединяет IAM, мониторинг и IR в целостную систему:
- IAM и управление доступом — IAM реализует least privilege и identity verification в Zero Trust
- Security at Scale — Enterprise Security реализует архитектурные принципы через SOC и automation
- Incident Response — Defense in depth и logging упрощают containment и forensics при инциденте
Вопросы для размышления
- Почему 'assume breach' является архитектурным принципом а не признанием поражения?
- Как micro-segmentation (K8s NetworkPolicy) реализует Zero Trust принципы на уровне контейнеров?
- Какие STRIDE угрозы наиболее критичны для payment processing системы и почему?