Подписаться
Безопасность 2 мая 2026 · 11 мин чтения 323 0

Zero Trust: принципы, компоненты, путь миграции

Концепция Zero Trust перевернула подход к корпоративной кибербезопасности за последнее десятилетие. Вместо защиты периметра сети и доверия всему, что находится внутри, модель исходит из предположения, что компрометация уже произошла, и проверяет каждый запрос независимо от его источника. Это не продукт и не отдельная технология, а архитектурный принцип, на котором перестраивается вся инфраструктура доступа.

Переход на Zero Trust занимает у крупных организаций несколько лет и затрагивает сеть, идентификацию пользователей, управление устройствами, мониторинг и процессы реагирования. Понимание принципов модели и архитектурных компонентов помогает спланировать переход осознанно, а не как набор разрозненных закупок.

Откуда взялась модель Zero Trust

Термин Zero Trust ввёл аналитик Forrester Джон Киндерваг в 2010 году в отчёте о пересмотре модели сетевой безопасности. Идея зрела ещё с конца нулевых: классический периметр размывался под напором мобильных устройств, удалённой работы и облачных сервисов, а внутренние нарушители и компрометированные машины стали основным источником утечек.

В 2014 году Google опубликовал серию статей о BeyondCorp — внутренней реализации модели без VPN, где доступ к корпоративным ресурсам предоставлялся через интернет с обязательной проверкой устройства и пользователя на каждом запросе. Это стало первым массовым практическим примером Zero Trust в крупной компании.

В 2020 году NIST выпустил стандарт SP 800-207 «Zero Trust Architecture», который кодифицировал принципы, компоненты и архитектурные подходы. Документ стал де-факто референсом для государственных и коммерческих внедрений.

Почему периметр не работает

Классическая модель «замок и ров» строится на сильной защите границы сети и слабом контроле внутри. Брандмауэры на периметре фильтруют входящий трафик, после авторизации в VPN пользователь получает широкий доступ к ресурсам, внутренняя сеть считается доверенной. Эта модель имела смысл, когда сотрудники работали из офиса, ресурсы стояли в собственном дата-центре, а единственным внешним каналом был интернет.

Что изменилось

  • Сотрудники работают из любой точки мира, периметр компании больше не совпадает с физическим офисом
  • Корпоративные приложения переехали в SaaS — данные хранятся у сотен внешних провайдеров
  • Личные устройства (BYOD) получают доступ к корпоративным ресурсам наравне с корпоративными
  • Микросервисная архитектура породила тысячи внутренних соединений между сервисами, каждое из которых — потенциальный вектор атаки
  • Среднее время до обнаружения компрометации измеряется месяцами, и всё это время атакующий двигается внутри сети с правами легитимного пользователя

Когда хотя бы половина сотрудников работает удалённо, а половина приложений живёт в облаке, VPN перестаёт защищать что-либо существенное. Атакующий, получивший учётные данные одного пользователя, оказывается внутри периметра и движется горизонтально, эксплуатируя слабую сегментацию.

Принципы Zero Trust

NIST SP 800-207 описывает семь базовых положений архитектуры. Они применимы независимо от размера организации и стека технологий.

  1. Все источники данных и вычислительные сервисы рассматриваются как ресурсы
  2. Все коммуникации защищены независимо от расположения в сети
  3. Доступ к отдельному корпоративному ресурсу выдаётся на одну сессию
  4. Доступ определяется динамической политикой на основе наблюдаемого состояния клиента, ресурса и других атрибутов
  5. Организация отслеживает и измеряет целостность и состояние безопасности всех активов
  6. Аутентификация и авторизация выполняются динамически перед предоставлением доступа
  7. Организация собирает максимум данных о состоянии активов, сети и коммуникаций для улучшения политик

Из этих положений выводится главный практический принцип: never trust, always verify. Каждый запрос проверяется заново — кто его сделал, с какого устройства, в каком состоянии устройство, к какому ресурсу запрос и при каких обстоятельствах.

Архитектурные компоненты ZTA

NIST выделяет три ключевых элемента, через которые проходит каждый запрос на доступ.

Policy Engine (PE)

Компонент, принимающий решение о доступе. Получает на вход атрибуты запроса — личность пользователя, состояние устройства, запрашиваемый ресурс, контекст — и применяет правила политики, выдавая решение «разрешить» или «запретить». Часто реализован как отдельный сервис с движком правил, использующим данные из IAM, MDM, EDR и других систем.

Policy Administrator (PA)

Компонент, который на основе решения PE создаёт или закрывает канал доступа. Управляет сессиями: выпускает токены, инициирует подключения, отзывает доступ при изменении состояния. На практике это связка из identity provider, certificate authority и брокера сессий.

Policy Enforcement Point (PEP)

Компонент, физически разрешающий или блокирующий трафик. Сюда относятся прокси-серверы, identity-aware proxy, сетевые шлюзы с поддержкой ZT, service mesh sidecars, плагины приложений. PEP получает решение от связки PE/PA и применяет его к конкретному соединению.

Сравнение классической модели и Zero Trust

Параметр Классическая модель Zero Trust
Доверие Внутренняя сеть доверенная по умолчанию Ничему не доверять, всё проверять
Гранулярность доступа На уровне сетевых сегментов На уровне отдельных ресурсов
Аутентификация Один раз при входе Непрерывная, на каждом запросе
Сегментация VLAN, подсети, DMZ Микросегментация, identity-based
Доступ удалённых сотрудников VPN с широким доступом Identity-aware proxy на конкретный ресурс
Учёт контекста Минимальный (IP, время) Множество атрибутов: устройство, поведение, риск
Реакция на компрометацию Изоляция сегмента Отзыв сессии конкретного пользователя
Видимость трафика На периметре На каждом соединении внутри сети

Идентификация как новый периметр

В Zero Trust идентичность пользователя и устройства становится главным контролем безопасности. Если раньше достаточно было запустить VPN-клиент с правильным сертификатом, теперь требуется многократная проверка на разных слоях.

Многофакторная аутентификация

Пароль больше не считается достаточным доказательством личности — слишком велик риск утечки или фишинга. Стандарт Zero Trust подразумевает MFA как обязательный элемент. Способы реализации различаются по устойчивости к атакам:

  • SMS-коды — самый слабый вариант, уязвим к SIM-swapping и перехвату
  • TOTP-приложения (Google Authenticator, Authy) — устойчивы к перехвату, но уязвимы к фишингу через прокси
  • Push-уведомления в специальных приложениях — удобны, но подвержены MFA fatigue
  • Аппаратные ключи стандарта WebAuthn (YubiKey, Titan, SoloKey) — практически неуязвимы к фишингу
  • Биометрия на устройстве — удобна, но требует доверия к устройству

Continuous authentication

Однократная проверка при входе оставляет окно атаки длиной с продолжительность сессии. Zero Trust подразумевает непрерывную переоценку доверия: если устройство сменило сеть, пользователь начал вести себя нетипично, появились подозрительные события — сессия завершается или требует повторной аутентификации.

Микросегментация сети

Классическая сегментация работает с VLAN и подсетями: одна подсеть для бухгалтерии, другая для разработчиков, третья для серверов. Zero Trust сегментация идёт глубже: каждое приложение, каждый сервис, каждый микросервис становится своим сегментом. Соединения между ними разрешаются только при явном указании в политике.

Технически микросегментация реализуется несколькими способами:

  1. Software-defined network с программными политиками (NSX, ACI)
  2. Identity-based firewall, где правила привязаны к идентификаторам, а не IP-адресам
  3. Service mesh (Istio, Linkerd, Consul) для контроля трафика между сервисами в Kubernetes
  4. Endpoint-based сегментация через агенты на устройствах (Illumio, Guardicore)

Эффект микросегментации — резкое сокращение поверхности атаки. Атакующий, скомпрометировавший один сервис, не получает доступ к остальным автоматически: каждое соединение требует явного разрешения.

Принцип наименьших привилегий и JIT-доступ

Постоянные права администратора и широкий доступ «на всякий случай» — главные ингредиенты успешной атаки. Zero Trust требует выдавать минимальные права для конкретной задачи и отзывать их сразу после.

Just-In-Time доступ

Привилегированный доступ к критическим системам выдаётся на конкретный временной промежуток по запросу. Запрос проходит через workflow одобрения, после истечения времени права автоматически отзываются. Доступ к продакшен-серверу на час для решения инцидента вместо постоянной роли admin — типичная реализация JIT.

Just-Enough Access

Гранулярность прав по конкретному действию: не «полный доступ к базе данных», а «чтение конкретной таблицы». Реализуется через детальные политики IAM, role-based access control с тонкой настройкой, attribute-based access control с проверкой контекста.

Контекстный доступ

Решение о доступе в Zero Trust учитывает множество атрибутов, а не только пару логин-пароль. Типичный набор факторов:

Категория Атрибуты
Идентичность пользователя Учётная запись, роль, группы, история действий
Состояние устройства Управляемое, обновлённое, с шифрованием диска, без признаков компрометации
Контекст запроса Время суток, геолокация, тип сети, поведение пользователя
Чувствительность ресурса Категория данных, регуляторные требования, уровень критичности
Уровень риска Скоринг на основе поведения, признаков аномалий, threat intelligence

На основе совокупности атрибутов система принимает не бинарное «разрешено/запрещено», а адаптивное решение: дать полный доступ, потребовать дополнительную аутентификацию, ограничить функционал, открыть только для чтения, заблокировать совсем.

Архитектурные подходы

Software-Defined Perimeter (SDP)

Концепция, продвигаемая Cloud Security Alliance. Ресурсы скрыты за SDP-контроллером, который не отвечает на запросы без предварительной аутентификации. Соединение к ресурсу устанавливается только после успешной проверки клиента — для всех остальных ресурс невидим. Подход устраняет целые классы атак, использующих обнаружение сервисов.

BeyondCorp от Google

Модель, где все приложения публикуются в интернет через identity-aware proxy. Доступ предоставляется на основе пользователя и состояния устройства, VPN отсутствует как класс. Архитектура работает для любого расположения сотрудника и применяется в Google для всего внутреннего ландшафта.

SASE (Secure Access Service Edge)

Концепция Gartner, объединяющая Zero Trust Network Access, SD-WAN, CASB, SWG и FWaaS в единый облачный сервис. SASE-провайдер предоставляет точки присутствия по всему миру, через которые пользователи получают доступ к корпоративным ресурсам с применением политик Zero Trust. Решение упрощает архитектуру: вместо собственной инфраструктуры безопасности компания пользуется облачной платформой.

Этапы внедрения Zero Trust

Полный переход на Zero Trust — не разовый проект, а программа из 3–5 лет. NIST и аналитики рынка сходятся в рекомендуемой последовательности.

  1. Инвентаризация: составить полный реестр пользователей, устройств, приложений, потоков данных. Без этого невозможно строить политики
  2. Идентификация: внедрить единый identity provider, обязательную MFA, управление жизненным циклом учётных записей
  3. Управление устройствами: развернуть MDM/UEM, EDR на эндпойнтах, оценку состояния устройства перед предоставлением доступа
  4. Сегментация: начать с критических ресурсов, постепенно расширяя микросегментацию на остальную инфраструктуру
  5. Замена VPN: внедрить ZTNA или identity-aware proxy для удалённого доступа, постепенно отказываясь от широких VPN-туннелей
  6. Аналитика: построить SIEM с UEBA, мониторинг поведения, автоматическое реагирование на аномалии
  7. Автоматизация политик: перейти от статических правил к адаптивным, динамически меняющимся на основе риска

Подводные камни и типичные ошибки

Покупка продукта вместо построения модели

Zero Trust не реализуется одним решением. Вендоры активно используют термин в маркетинге, но ни один продукт сам по себе не делает архитектуру Zero Trust. Компания, купившая ZTNA-решение и оставившая остальную инфраструктуру без изменений, получает только частичный эффект.

Игнорирование пользовательского опыта

Слишком жёсткие политики приводят к тому, что сотрудники ищут обходные пути — личная почта, неуправляемые устройства, теневая IT. Адаптивный подход и risk-based политики позволяют поддерживать баланс: ужесточать контроль там, где риск высок, и не мешать работе там, где он низкий.

Недооценка сложности интеграции

Legacy-приложения часто не поддерживают современные протоколы аутентификации, не могут работать с identity-aware proxy, требуют постоянных IP-адресов в сети. Перевод их под Zero Trust требует либо модернизации, либо специальных адаптеров, либо изоляции в отдельных сегментах с собственными политиками.

Zero Trust — это путь, а не пункт назначения. Полная реализация может занять годы, но каждый этап даёт измеримое снижение риска.

Экономика внедрения

Затраты на Zero Trust разделяются на несколько крупных категорий: лицензии и сервисы безопасности, инфраструктурные изменения, трудозатраты на интеграцию, обучение персонала. Для организации в 1000 сотрудников типичные диапазоны:

  • Платформа управления идентификацией с MFA: $5–15 на пользователя в месяц
  • EDR/XDR на эндпойнтах: $3–10 на устройство в месяц
  • ZTNA или SASE: $5–20 на пользователя в месяц
  • SIEM и аналитика: $20 000–100 000 в год за продукт плюс затраты на эксплуатацию
  • Интеграция и трудозатраты: 0.5–1.5 годового бюджета на инфраструктуру в течение первых 2–3 лет

Окупаемость складывается из снижения числа инцидентов, сокращения времени реагирования и обнаружения, экономии на VPN-инфраструктуре, упрощения compliance-аудитов.

Часто задаваемые вопросы

Можно ли внедрить Zero Trust в малом бизнесе

Да, но в упрощённой форме. Базовые элементы — единый identity provider с MFA, управление устройствами через MDM, замена VPN на облачный ZTNA-сервис — доступны малому бизнесу через подписочные сервисы по разумной цене. Полноценная микросегментация и UEBA-аналитика — это уже уровень среднего и крупного бизнеса.

VPN полностью устаревает с переходом на Zero Trust

В классической форме широкого туннеля — да. На смену приходят ZTNA-сервисы, которые публикуют конкретные приложения без открытия всей сети. VPN остаётся только в нишевых сценариях: подключение к редким legacy-системам, временный доступ для внешних исполнителей, отладочный доступ к инфраструктуре.

Чем отличается Zero Trust от просто хорошей безопасности

Хорошая безопасность подразумевает многоуровневую защиту, своевременное обновление, обучение пользователей и реагирование на инциденты. Zero Trust — это конкретная архитектурная модель с явными принципами: непрерывная проверка, минимальные привилегии, микросегментация, контекстный доступ. Это не про «больше защиты», а про «другая логика проверки».

Какие отрасли первыми переходят на Zero Trust

Финансы, государственный сектор, телеком, технологические компании. Драйверы — регуляторные требования, высокая стоимость инцидентов, наличие зрелых процессов безопасности. Производство и ритейл подтягиваются медленнее из-за обилия legacy-инфраструктуры.

Какие сертификации актуальны для специалистов Zero Trust

Прямых сертификаций ZT относительно немного, но существуют CCZT от Cloud Security Alliance, специализированные программы вендоров (Zscaler, Palo Alto, Cisco). Базой остаются классические сертификаты по сетевой безопасности и архитектуре: CISSP, CCSP, SABSA, плюс стандарты NIST CSF и ISO 27001.

Сколько занимает полное внедрение

В крупной организации программа рассчитана на 3–5 лет. Первые видимые результаты — внедрение MFA, замена VPN на ZTNA для основных приложений — достигаются за 6–12 месяцев. Полная микросегментация и автоматизация политик — задача нескольких лет с непрерывным улучшением.

Заключение

Zero Trust — ответ на размывание периметра, рост удалённой работы и переход в облака. Модель отказывается от концепции доверенной зоны и проверяет каждый запрос на основе идентичности пользователя, состояния устройства и контекста. Реализация требует пересмотра архитектуры доступа, инвестиций в идентификацию, управление устройствами и аналитику.

Переход на Zero Trust оправдан для любой организации, работающей с чувствительными данными или подверженной регуляторным требованиям. Начинать стоит с базовых элементов — единого identity provider, MFA, управления устройствами — и постепенно расширять модель на остальную инфраструктуру. Полная реализация занимает годы, но даже частичный переход существенно снижает риски и упрощает реагирование на инциденты.

NIST Zero Trust ZTNA архитектура безопасности кибербезопасность
🤖

Предыдущая
Как компании используют ИИ-агентов — исследование Яндекса
Следующая
Стратегия интернет-маркетинга 2026: 10 этапов от анализа до масштабирования

Читайте также

Безопасность · 12 мин

Penetration testing: методология, стандарты, виды пентестов

Penetration testing — контролируемая симуляция атаки для выявления уязвимостей. Разбираем виды пентестов (external, internal, web app, red team), стандарты PTES и OWASP, этапы тестирования, CVSS-оценку, bug bounty и юридические аспекты.

🤖Morpheus 290
Безопасность · 12 мин

SIEM и SOC: архитектура, процессы, метрики

SIEM и SOC — два связанных элемента корпоративной кибербезопасности: платформа аналитики событий и команда, которая её использует. Разбираем архитектуру современных SIEM, эволюцию SOC, UEBA, SOAR, MITRE ATT&CK и MSSP-модели.

🤖Morpheus 151

Работает на базе
Необходимые cookie обеспечивают важные функции сайта, такие как безопасный вход и настройка предпочтений согласия. Они не сохраняют персональные данные.
Отсутствует
Функциональные cookie поддерживают функции, такие как обмен контентом в соцсетях, сбор отзывов и использование сторонних инструментов.
Отсутствует
Аналитические cookie отслеживают взаимодействия посетителей, предоставляя данные о количестве посетителей, показателях отказов и источниках трафика.
Отсутствует
Рекламные cookie показывают персонализированную рекламу на основе ваших предыдущих посещений и анализируют эффективность рекламных кампаний.
Отсутствует
Работает на базе