Агентство национальной безопасности США (АНБ) выпустило руководство по внедрению концепции нулевого доверия

Zero Trust в трактовке АНБ рассматривается как архитектурный подход, при котором доступ к данным, приложениям и сервисам предоставляется только после явной и постоянной проверки. В документе «Zero Trust Implementation Guideline. Phase One» Национальное агентство безопасности США (NSA) описывает первый целевой этап внедрения этой архитектуры и минимальные требования, с которых рекомендуется начинать отказ от доверия к периметру.

Почему традиционная модель безопасности больше не работает

Традиционная модель безопасности опирается на доверие к внутренней сети и защиту периметра, предполагая, что все внутри инфраструктуры по умолчанию безопасно. Такой подход перестает работать в условиях распределенных систем, удаленного доступа и активного использования облачных сервисов, где сетевые границы размыты и не могут служить надежным ориентиром для контроля доступа.

В руководстве АНБ отмечается, что пользователи, устройства и приложения могут быть скомпрометированы независимо от их расположения. В этих условиях разовая аутентификация при входе и статические правила доступа не позволяют эффективно сдерживать атаки и ограничивать их развитие, что требует перехода к модели, в которой каждый запрос к данным и сервисам проверяется отдельно, а доступ предоставляется строго в минимально необходимом объеме.

Базовые принципы Zero Trust, заложенные в Phase One

Этап Phase One строится на отказе от доверия по умолчанию и принципе явной проверки доступа: любой пользователь, устройство или сервис рассматривается как недоверенный до момента подтверждения. Доступ к данным и приложениям предоставляется не на основании расположения в сети, а по результатам проверки каждого запроса с учетом контекста и состояния среды.

Вторым ключевым принципом является минимально необходимый доступ и ориентация архитектуры на защиту данных и сервисов. В руководстве подчеркивается, что права должны предоставляться строго в рамках выполняемой задачи, а контроль доступа выстраивается от критически важных ресурсов к путям доступа к ним, что позволяет ограничивать последствия компрометации и сдерживать развитие атак внутри инфраструктуры.

Как устроен этап Phase One

Phase One является первым этапом внедрения Zero Trust и полностью описан в руководстве «Zero Trust Implementation Guideline». Материал структурирован по ключевым направлениям архитектуры Zero Trust, которые в документе называются столпами. Для каждого столпа определены целевые возможности и конкретные действия, описывающие, какие организационные и технические меры необходимо реализовать на этом этапе.

Акцент Phase One сделан на достижении базового целевого уровня Zero Trust, а не на расширенной автоматизации или аналитике. Этап ориентирован на поэтапное внедрение и закрепление единых принципов идентификации, контроля устройств, защиты данных и сегментации среды, которые далее используются при развитии архитектуры на следующих фазах.

Пользователи и идентификация: с чего начинается Zero Trust

На этапе Phase One Zero Trust начинается с управления идентификацией пользователей и отказа от доверия к учетным записям по умолчанию. Руководство NSA указывает на необходимость надежной идентификации, обязательного использования многофакторной аутентификации и строгого контроля привилегированных учетных записей, поскольку компрометация пользователей часто становится отправной точкой атак.

Отдельное внимание уделяется принципу минимально необходимого доступа и непрерывной проверке. Даже после успешной аутентификации пользователю предоставляется только тот набор прав, который требуется для выполнения конкретной задачи, а доступ может пересматриваться при изменении контекста, что снижает ущерб при компрометации учетных данных.

Устройства как объект постоянного контроля

На этапе Phase One устройства рассматриваются как самостоятельный фактор риска независимо от пользователя и точки подключения. Руководство NSA требует вести актуальный учет управляемых устройств, проверять их состояние и применять политику «запрещено по умолчанию», при которой доступ получают только устройства, соответствие которых требованиям безопасности подтверждено.

Дополнительно подчеркивается роль регулярного обновления, управления уязвимостями и средств обнаружения атак на конечных точках. Контроль устройств на этом этапе направлен на предотвращение использования скомпрометированных или неподконтрольных систем как точки входа и на ограничение распространения атак внутри инфраструктуры.

Приложения и рабочие нагрузки

В Phase One приложения и рабочие нагрузки рассматриваются как отдельные объекты контроля, доступ к которым регулируется независимо от сетевого расположения. В руководстве отмечается необходимость внедрения практик безопасной разработки, контроля исполняемого кода и управления уязвимостями для снижения риска эксплуатации ошибок на уровне приложений.

Также подчеркивается важность авторизации доступа к вычислительным ресурсам и интеграции механизмов безопасности в процессы разработки и эксплуатации. Это позволяет ограничивать доступ к приложениям и сервисам только проверенными субъектами и снижать риск использования уязвимых компонентов в качестве точки атаки.

Данные как ключевой актив

На этапе Phase One данные рассматриваются как основной объект защиты, вокруг которого выстраивается архитектура Zero Trust. Руководство NSA требует определить единые правила управления данными, включая их классификацию и маркировку, чтобы решения о доступе принимались с учетом чувствительности информации, а не только прав пользователя или расположения ресурса.

Для контроля использования данных предусматриваются механизмы мониторинга доступа, шифрования и управления правами, а также базовые функции предотвращения утечек. Такой подход позволяет ограничивать несанкционированное распространение информации и снижать ущерб при компрометации учетных записей или отдельных компонентов инфраструктуры.

Сеть и среда выполнения

В Phase One сеть перестает рассматриваться как доверенная зона и используется как управляемая среда доставки доступа. Руководство NSA указывает на необходимость понимания и контроля потоков данных, а также применения сегментации для ограничения взаимодействия между компонентами инфраструктуры и сокращения возможностей горизонтального перемещения атак.

Для этого используются программно-определяемые сетевые механизмы, макро- и микросегментация, а также явные правила доступа между сегментами. Такой подход позволяет изолировать критически важные ресурсы и снижать влияние инцидентов даже при компрометации отдельных узлов или учетных записей.

Автоматизация, оркестрация и аналитика

На этапе Phase One автоматизация и оркестрация рассматриваются как вспомогательные механизмы, обеспечивающие единое применение политик доступа и реагирования. В руководстве описывается использование централизованных точек принятия решений и базовых средств оркестрации для согласованной обработки событий безопасности.

Для обеспечения наблюдаемости предусматривается централизованный сбор и анализ журналов, а также корреляция событий безопасности. Эти меры позволяют выявлять отклонения в поведении пользователей, устройств и сервисов и служат основой для более сложной аналитики и автоматизированного реагирования на следующих фазах внедрения Zero Trust.

Что дает Phase One и где проходят его границы

Phase One позволяет достичь базового целевого уровня Zero Trust, при котором доступ к данным, приложениям и сервисам становится управляемым и проверяемым на основе идентификации, состояния устройств и контекста запроса. Руководство NSA показывает, какие минимальные организационные и технические меры необходимы для отказа от доверия к периметру и ограничения последствий компрометации внутри инфраструктуры.

В то же время в документе подчеркивается, что Phase One не является завершенной реализацией Zero Trust. Такие элементы, как расширенная автоматизация, поведенческая аналитика и контекстные механизмы принятия решений, выносятся за рамки этой фазы и реализуются на следующих этапах развития архитектуры.

Первая часть отчета Агентства национальной безопасности США (АНБ) «Zero Trust Implementation Guideline. Phase One» доступна по ссылке.