Никита Соколов, ASTEL: сейчас лучшее время для перехода на Zero Trust

2020 и 2021 годы стали знаменательными в части эволюции кибербезопасности. В начале пандемии в одночасье обеспечение сотрудникам удаленного рабочего места за пределами периметра корпоративных сетей стало насущной необходимостью для компаний. По мере того, как организации приспосабливались к этой трансформации, они столкнулись с более изощренными видами кибератак, чем прежде. Мошеннические схемы стали еще сложнее, в них применяются все новые тактики и инструменты.

Все это вызвало всплеск интереса IT-отрасли к концепции Zero Trust («нулевого доверия») как к инструменту повышения безопасности, гибкого соблюдения регуляторных требований, повышения скорости обнаружения и устранения угроз, а также как к доступному ресурсу аналитических данных.

Мы поговорили с Никитой Соколовым, начальником сектора сетевых технологий AO «ASTEL», о преимуществах концепции, о возможных сложностях на пути ее внедрения и об архитектуре решения ZTNA от компании Fortinet.

— Никита, первый вопрос напрашивается сам собой. В чем суть концепции Zero Trust?

— В первую очередь, Zero Trust — это переосмысление подхода к обеспечению безопасности IT-инфраструктуры, сдвиг парадигмы. Я бы определил ее так: «Полное отсутствие доверия к чему или кому бы то ни было. Никому не доверяй, проверяя — перепроверяй, и проверь еще раз». Сама концепция, конечно, не нова, она зародилась еще в 2010 году и продолжала эволюционно развиваться. Но, несомненно, драйвером популяризации Zero Trust стали, во-первых, развитие публичных облачных сервисов, во-вторых, массовый переход на удаленную работу в связи с пандемией COVID-19 и, в-третьих, современная IT-экосистема стала более динамичной. Сейчас очень трудно представить себе монолитную архитектуру приложений. Напротив, существует очень много кросс-зависимостей между сервисами, которые могут географически находиться в разных ЦОДах и даже разных континентах. Если ранее при защите инфраструктуры специалисты ИБ традиционно исходили из парадигмы листов доступа (ACL), которые при этом обычно работали только на 3 и 4 уровнях модели OSI, писали правила как на периметре, так и внутри корпоративной сети и оперировали понятием «защита периметра», то теперь поддержание такой огромной базы данных сущностей становится непосильной административной задачей. А что самое главное — периметра уже нет, его границы размываются, и становится трудно выстраивать линии защиты. При классическом подходе придется «растягивать» периметр, что требует финансовых затрат, да и сопровождение такой системы с точки зрения масштабирования и административного управления стоит под большим вопросом. Поэтому возникла концепция «нулевого доверия» (Zero Trust), когда периметра больше нет, а решение о предоставлении доступа к тому или иному ресурсу принимается в момент обращения к ресурсу, основываясь на различных контекстах.

— То есть, концепция разделения на доверенную и недоверенную сеть отодвинулась на обочину IT-эволюции?

— Фактически, да. Традиционный подход предусматривает защиту внешней сетевой границы, благодаря которой относительно успешно удавалось обеспечить безопасный доступ персонала компании к глобальным сетям, а удаленных пользователей — к корпоративным. Этот подход предполагает хоть и тщательную, но только лишь одноразовую проверку всего, что пытается подключиться к ресурсам компании извне. При этом, внутри периметра (то есть в корпоративной сети) образуется доверенная зона, в которой пользователи, устройства и приложения обладают определенной свободой действий, основанной на предполагаемом доверии. Пока доверенная зона ограничивалась локальной сетью и подключенными к ней стационарными устройствами, защита периметра была эффективной. Однако, учитывая стремительное распространение мобильных устройств, концепции BYOD, облачных вычислений и различных технологий для совместной и удаленной работы, все чаще приходится слышать об исчезновении периметра корпоративной сети.

— Выходит, периметр сети теперь смещается туда, где находится пользователь. Отличие концепции Zero Trust от традиционного подхода заключается лишь в этом?

— Прежде всего, Zero Trust — это стратегия и руководящие принципы, на которые опираются технологии, реализующие эту философию, поскольку сама концепция нас никак не ограничивает в выборе средств реализации или не говорит, как нам надо это делать. Она говорит нам что мы должны сделать — сменить свое отношение ко всем субъектам, которые пытаются получить к нам доступ, заменить предположение о доверии предположением о недоверии: теперь каждый субъект для нас — угроза, а сеть непрерывно находится под атакой. В отличие от классического подхода, подразумевающего защиту внешнего периметра, модель Zero Trust предполагает разделение корпоративной сети и других ресурсов на небольшие участки или сегменты, которые могут состоять даже из одного-единственного устройства или приложения. В итоге мы получаем множество микроскопических периметров со своими политиками безопасности и правами доступа. Это позволяет гибко управлять доступом и исключить, например, горизонтальное перемещение злоумышленника внутри сети. Поэтому здесь тоже нашлось место периметру, только очень маленькому. К примеру, базовое взаимодействие элементарной пары «служба–пользователь» в рамках технологии ZTNA и является периметром.

— Давайте определим основные принципы данной концепции.

— Первое — это аутентификация и проверка на повторяющейся основе. Второе — предоставление минимального доступа: микросегментация, легко контролируемые зоны, контроль доступа к приложениям и ресурсам и минимизация привилегий. И третье — предположение о компрометации: девиз «у нас теперь нет доверенных зон вообще».

— Рассмотрим озвученные выше принципы более детально. Почему они так важны и почему именно они встали во главу угла перед идейными разработчиками? Начнем с аутентификации.

— Концепция Zero Trust — это отсутствие каких-либо доверенных зон. Как мы говорили выше, сам подход «абсолютного недоверия» предписывает видеть потенциальную угрозу в любой попытке получить доступ к корпоративной информации до тех пор, пока не будет доказано обратное. То есть для каждой конкретной сессии пользователь (устройство, приложение) должен пройти процедуру аутентификации и подтвердить свое право на доступ к тем или иным данным. В результате отсутствует доверенная зона, исчезает периметр сети в классическом понимании, а максимальное уменьшение поверхности взаимодействия между сетевыми устройствами/службами/сервисами приводит к увеличению степени защищенности процессов и радикальному снижению возможности горизонтального перемещения в случае компрометации.

— Что означают минимальные привилегии?

— Каждому пользователю предоставляется ровно столько прав, сколько необходимо для выполнения его задач. Соответственно, если аккаунт отдельного пользователя взломают, это может привести к компрометации части ресурсов, но не всей инфраструктуры.

— В рамках концепции Zero Trust мы говорим о поверхности защиты вместо поверхности атаки?

— Верно. Поверхность защиты — это то, что мы должны защитить от несанкционированного доступа: конфиденциальные данные, инфраструктурные объекты, узлы связи и так далее. Поверхность защиты значительно меньше поверхности атаки, в которую входят все потенциально уязвимые объекты инфраструктуры, процессы и их участники. А значит, обеспечить безопасность поверхности защиты проще, чем свести к нулю поверхность атаки.

— А что насчет микросегментации и горизонтального перемещения?

— Стратегически Zero Trust сосредоточено на решении проблемы горизонтального перемещения угроз внутри сети или инфраструктуры путем использования микросегментации и гранулярного применения правил доступа на основе пользовательского контекста, контроля доступа к информации, определения местоположения, физического нахождения устройства и других контекст-зависимых атрибутов.

Горизонтальное перемещение означает возможность атакующего свободно передвигаться по корпоративной сети после компрометации одного находящегося в ней узла, тем самым значительно увеличивая ущерб от атаки.

— По вашему ощущению, готово ли большинство казахстанских компаний к переходу на Zero Trust?

— Переход на концепцию «нулевого доверия» может оказаться непростым. К примеру, если у компании сеть развивалась эволюционно и обзавелась сложной инфраструктурой, с большой долей вероятности, в ней могут оказаться устаревшие устройства и ПО, на которых реализовать данный функционал будет невозможно. Их замена потребует времени и денег. Но здесь важно понимать, что обеспечение безопасности — это уже давно не вопрос выбора, а необходимость! Число кибератак растет с каждым месяцем, при этом, ожидать, что компании в ближайшее время вернутся к пост-пандемийным офисным будням, уже не приходится. Поэтому, сейчас самое время задуматься над тем, чтобы начать работу по выработке стратегии развития, «обрисовке карты местности», систематизации своих активов, и подготовке плана постепенной, поэтапной миграции с классической модели на Zero Trust.

Я не сторонник подхода «бросаться в омут с головой». Считаю, что миграцию на новые технологии необходимо выполнять не одномоментно, а постепенно — добавляя новых пользователей к работе в рамках сдвига к новой концепции. Наиболее оптимальным вариантом имплементации нового подхода я вижу комбинацию традиционных способов защиты своих приложений и пользователей внутри периметра с принципами Zero Trust для удаленных пользователей и для защиты корпоративных ресурсов.

— Как ASTEL может помочь казахстанским компаниям внедрять принцип Zero Trust?

— ASTEL является давним партнером компании Fortinet, мирового лидера в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности. У нас развернута собственная, достаточно большая, инфраструктура на базе решений Fortinet. Поэтому мы с огромным энтузиазмом восприняли новость о выходе новейшей операционной системы FortiOS 7.0.0 с интегрированным функционалом ZTNA и, конечно же, решили, что будем одними из первых, кто реализует это у себя, а также поможет другим компаниям с переходом.

— Можете подробнее рассказать об архитектуре решения ZTNA на оборудовании Fortinet?

— Инженеры компании хорошо постарались и в рамках внутренней дорожной карты представили несколько обновленных версий своих продуктов, приуроченных к выходу FortiOS 7.0 и адаптированных для работы в ZTNA-окружении. То, как осуществляется идентификация устройства с помощью клиентских сертификатов X.509, и как устанавливается доверительный контекст устройства между FortiClient, FortiClient EMS сервером и шлюзом безопасности FortiGate, является ключевой и неотъемлемой частью ZTNA-функционала, и требует особого внимания и изучения. Об этом стоит говорить отдельно.

В целом же, могу сказать, что с FortiOS 7.0 клиенты FortiGate могут использовать функционал Zero Trust Network Access прямо из коробки, интегрировав между собой вышеперечисленные элементы инфраструктуры, выводя на новый уровень user experience, отказавшись от привычных VPN и публикации корпоративных ресурсов в интернете. Сотрудники служб ИБ получают в свое распоряжение удобный инструмент оркестрации и контроля конечных станций в лице FortiClient EMS Server, а также мощный аналитический инструмент в лице FortiAnalyzer. И все это работает в рамках единой экосистемы — Fortinet Security Fabric, которая предоставляет беспрецедентные возможности для дальнейшего эволюционного развития.

— Давайте предположим, что компания N приняла решение о переходе на Zero Trust.

— Здесь речь идет, не побоюсь этого слова, о революционном решении, поэтому и готовиться к нему нужно основательно. Начать необходимо с кропотливого изучения технической стороны. Вы должны быть авторитетны в этом вопросе, ведь на вас ляжет весь груз ответственности. На этапе подготовки необходимо четко сформулировать стратегию и описать сценарии использования, наложив все это на свою инфраструктуру, оценить риски.

Заручившись поддержкой своего технического бэкграунда, готовой стратегией и сценариев использования, можно начинать работу по «продаже» идеи внедрения ZTNA у себя в компании на уровне руководства. Разверните тестовую инфраструктуру и покажите руководству, как это работает. Лучше, как говорится, один раз увидеть, чем сто раз услышать. Тем более, что многие вендоры не скупятся на триальные лицензии.

Вопрос о затратах на внедрение и последующее сопровождение не заставит себя ждать. Будьте готовы к этому, исследуйте рынок потенциальных поставщиков решения, изучите архитектуру, модели лицензирования, запросите коммерческие предложения. Желательно выбирать вендоров, чья экосистема наиболее близка вам, — легче впоследствии будет интегрироваться.

Следующим шагом логично было бы определить и категорировать ресурсы, определить роли пользователей и необходимые им ресурсы.

Ну и напоследок, вам необходимо подобрать инструменты для модернизации существующей инфраструктуры и приведения ее в соответствие с концепцией ZTNA.

В любом случае путь этот будет труден и тернист, однако не менее интересен. Чтобы хоть как-то сгладить трудности переходного периода, можно заблаговременно начать небольшие, но не менее важные подготовительные шаги. Первый шаг — полностью отказаться от использования IP-адресов в рамках правил доступа, а руководствоваться исключительно пользовательскими идентификационными данными. Второй шаг — продумать и провести сегментацию, имплементировать службы распределенного Firewall в системах виртуализации.

Для некоторых компаний эта игра не будет стоить свеч и это будет несопоставимо дорого в плане начальных инвестиций и TCO с приобретаемой выгодой, но, выполнив даже первоначальные шаги, описанные выше, они получат приемлемый уровень безопасности. Для других это будет очень длительный процесс, поэтому не стоит забывать, что миграцию на новые технологии необходимо выполнять не одномоментно, а постепенно — добавляя новых пользователей к работе в рамках сдвига к новой концепции.

— Тем не менее, очевидно, что преимущества нового концепта довольно весомы.

— Это так. Наряду со многими новшествами, привнесенными инженерами компании Fortinet в новую версию операционной системы FortiOS 7.0.0, у нас появилась возможность уже сегодня, совершенно бесплатно, попробовать на вкус ZTNA. Что можно сейчас сказать об этом? После проведенной работы есть приятное послевкусие, а самое главное, проявляются реальные кейсы, в которых это можно использовать, как улучшить User Experience — отказаться от VPN или свести его к минимуму, как разграничить доступ, как сегментировать сервисы, как минимизировать поверхность атаки, отменив публикацию корпоративных ресурсов и т. д.

Мы же, опробовав данное решение, с радостью пополним им наш портфель услуг в сфере информационной безопасности. Самое главное, что это только верхушка айсберга, и самые главные вкусности, я надеюсь, еще впереди!