В условиях повсеместной удалённой работы, использования облачных вычислений и виртуализации всё больше размываются границы периметра организаций, появляются новые риски и угрозы, становится всё труднее полагаться на обычные средства защиты критически важных систем и данных на основе периметра. Переход к архитектуре с «нулевым доверием» (Zero Trust) способен надёжно обеспечить организациям безопасность в современных реалиях.
Введение
Последние несколько лет к архитектуре «нулевого доверия» (Zero Trust Architecture, ZTA) приковано повышенное внимание всего международного ИБ-сообщества: идёт активное обсуждение на различных российских и международных площадках, появляются соответствующие методические документы от коммерческих и государственных организаций. Так, в частности, в конце января текущего года был выпущен меморандум, в котором излагаются рекомендации для агентств и департаментов США по переходу на архитектуру «нулевого доверия».
Эти рекомендации органично сочетаются с тезисами, которые специалисты «КриптоПро» в последние годы высказывают на профильных конференциях. Кратко рассмотрим их ниже.
Базис архитектуры «нулевого доверия»
Основополагающий принцип этой архитектуры заключается в том, что ни один субъект, ни одна система, сеть или служба, работающие вне или внутри периметра безопасности, не являются доверенными. Вместо этого в процессе предоставления доступа необходимо проверять всё и вся. Это является кардинальным сдвигом парадигмы в понимании того, как обеспечивается защита инфраструктуры, сетей и данных, от однократной проверки по периметру до постоянной гранулированной проверки каждого пользователя, устройства, приложения и транзакции для того, чтобы соответствующая целевая информационная система всегда обладала самыми полными сведениями о том, с кем имеет дело на этапе аутентификации / авторизации.
Кроме этого, приложения не могут полагаться на безопасность периметра сети для защиты от несанкционированного доступа. Пользователи должны входить в приложения, а не в сети, и корпоративные приложения в конечном итоге должны иметь возможность использоваться через интернет. В ближайшей перспективе каждое приложение с точки зрения безопасности должно рассматриваться как доступное через интернет. По мере внедрения этого подхода ожидается, что организации перестанут требовать, чтобы доступ к приложениям направлялся через определённые сети.
Существует несколько подходов к построению ZTA: развитое управление идентификацией, логическая микросегментация и сегментация на основе сети. Каждый из этих подходов преследует одну и ту же цель: максимально изолировать среды, чтобы злоумышленник, который компрометирует одно приложение или компонент, не мог легко перемещаться в пределах организации и компрометировать другие среды.
Целевая картина перехода организации на ZTA может выглядеть следующим образом:
- Сотрудники организации имеют управляемые ею учётные записи, что позволяет им получать доступ ко всему, что им нужно для выполнения своей работы, оставаясь при этом надёжно защищёнными.
- Устройства, которые сотрудники используют для выполнения своей работы, постоянно отслеживаются и контролируются, и при предоставлении доступа к внутренним ресурсам учитывается уровень их безопасности.
- Системы организации изолированы друг от друга, а сетевой трафик, проходящий между ними и внутри, зашифрован и аутентифицирован.
- Корпоративные приложения проходят внутреннее и внешнее тестирование и могут быть безопасно доступны сотрудникам через интернет.
- Подразделения безопасности определяют категории данных и защитные правила по их автоматическому обнаружению и блокированию несанкционированного доступа к конфиденциальной информации.
Переход на ZTA целесообразно рассматривать через призму следующих ключевых областей: идентификация, устройства, сети, приложения и данные. Далее кратко рассмотрим каждую из них.
Идентификация субъектов доступа (пользователей, устройств, приложений, транзакций)
Обращение к приложению из определённой сети не должно считаться менее рискованным, чем обращение к нему из интернета. Достижение этой цели в организации означает постепенное снятие акцента с аутентификации на сетевом уровне и, в конечном итоге, полное её устранение в пользу аутентификации в приложениях, в том числе многофакторной.
При авторизации пользователей для доступа к ресурсам организации следует учитывать по крайней мере один фактор уровня устройства наряду с идентификационной информацией о прошедшем проверку пользователе.
Инвентаризация и защита устройств доступа
Организация должна вести инвентаризацию всех устройств, авторизованных и эксплуатируемых, и быть способной предотвращать, обнаруживать инциденты на этих устройствах и реагировать на них.
Шифрование информации в сети
Организация должна шифровать весь HTTP-трафик везде, где это технически возможно, в том числе при передаче по внутренним сетям. При этом, следует активно применять последние версии стандартных протоколов шифрования, таких как TLS 1.2 / 1.3, и учитывать принципы их построения — в частности, минимизировать количество долговременных ключей, утечка каждого из которых может быть очень опасна для работы всей системы.
Публичный доступ к приложениям
В целевой картине организация должна рассматривать все свои приложения как подключённые к интернету, регулярно подвергать их тщательному собственному и стороннему анализу и тестированию. Обеспечение безопасного доступа приложений к интернету без использования виртуальной частной сети — это серьёзный сдвиг для многих организаций, который, помимо прочего, потребует реализации механизмов мониторинга, защиты от DDoS, а также строгой политики контроля доступа.
Журналирование операций доступа к данным
Организация должна использовать средства контроля доступа к своим конфиденциальным данным и вести электронный журнал аудита доступа.
Организация может использовать шифрование данных при хранении. Это позволит защитить данные, которые копируются, однако не сможет обезопасить их от доступа со стороны скомпрометированных системных компонентов, которым разрешено расшифровывать данные.
Опираясь на облачную инфраструктуру для управления ключами и доступа к операциям расшифрования, организация может полагаться на надёжность связанных журналов аудита, даже если её собственная среда полностью скомпрометирована.
При шифровании данных в облаке организация должна использовать инструменты управления ключами для создания надёжного журнала аудита, где документируются попытки доступа к этим данным. Критическое требование к управлению ключами здесь заключается в том, что даже если приложение скомпрометировано и злоумышленник имеет возможность расшифровать данные, управляемые этим приложением, любые попытки расшифрования всё равно будут надёжно регистрироваться отдельной системой.
Реализация ZTA на базе продуктов «КриптоПро»
Компания «КриптоПро» рассматривает ZTA как архитектурный фундамент для обеспечения защищённого удалённого доступа на уровне приложений с «нулевым доверием». Перечислим продукты «КриптоПро», комбинация которых позволяет реализовать такой доступ, в том числе с использованием российских криптографических алгоритмов:
- Универсальный TLS-шлюз удалённого доступа и VPN «КриптоПро NGate» позволяет реализовать защищённый удалённый доступ к корпоративным ресурсам, в том числе на уровне приложений. NGate обеспечивает шифрование передаваемой информации по протоколу TLS и обладает широкими возможностями по управлению доступом удалённых пользователей с любых типов устройств, в том числе с применением методов многофакторной аутентификации и гибкого разграничения прав доступа пользователей к ресурсам.
- Криптопровайдер «КриптоПро CSP» посредством интеграции в прикладные решения технологических партнёров позволяет обеспечить шифрование и имитозащиту информации при её хранении и передаче. В том числе реализована интеграция в программное обеспечение веб-серверов nginx и Apache для организации защищённого удалённого доступа к веб-ресурсам по протоколу TLS.
- Программно-аппаратный криптографический модуль «КриптоПро HSM» позволяет реализовать систему управления криптографическими ключами, обеспечив их безопасное хранение и использование, в том числе в облаке, с возможностью ведения доверенного журнала аудита всех криптографических операций, куда невозможно внести какие-либо несанкционированные изменения со стороны смежных прикладных и системных компонентов, даже в случае компрометации доступа к хранящимся в HSM неизвлекаемым ключам.
Выводы
Традиционные архитектуры безопасности предполагают, что все данные и транзакции являются надёжными по умолчанию, на основе определённых допущений. Однако компрометация, потеря данных и другие типы инцидентов могут подорвать это доверие. ZTA трансформирует модель доверия таким образом, что все данные и транзакции с самого начала считаются ненадёжными.
Воспользовавшись решениями «КриптоПро» в сочетании с одним из решений по контролю устройств, организации могут реализовать архитектуру «нулевого доверия» с обеспечением гранулированного безопасного доступа к приложениям и ресурсам с применением механизмов TLS VPN, веб-проксирования и безопасного журналирования. При таком подходе защита доступа обеспечивается без использования классического VPN на протяжении всего сеанса (а не только на этапе аутентификации) и для всех типов приложений и ресурсов, развёрнутых в облаке, локально или гибридно.