Zero Trust ճարտարապետություն
Live ռեզյումե
Zero Trust (ZT) անվտանգության մոդել է, որտեղ ցանցային պարաչափը այլևս չի համարվում վստահված գոտի։ Յուրաքանչյուր հարցում (user www.ap, www.ru, device network) անցնում է ակնհայտ վավերացում, հեղինակային իրավունքի և կոդավորման, հաշվի առնելով կոնտեքստային ազդանշանները (ինքնությունը, սարքի վիճակը, գտնվելու, ռիսկը, վարքը)։ Նպատակը blast radius-ի նվազեցումն է, lateral movics ռիսկի նվազեցումը և կոմպլանսի պարզեցումը։
Zero Trust հիմնական սկզբունքները
1. Ակնհայտ վստահություն չկա, վստահությունը չի ժառանգվի/SNN/ASN ցանցից։
2. Հասանելիությունը նվազագույն է 'քաղաքականությունը «ապահովել միայն այն, ինչ պետք է հիմա»։
3. Շարունակական հավատալիքներ 'նստաշրջաններ և հոսանքներ պարբերաբար գերագնահատել ռիսկի և համատեքստի միջոցով։
4. Փոխզիջման ենթադրություն 'սեգմենացիա, դիտարկում, արագ ինտեգրում և պարտատոմսեր։
5. Կոդավորումը ամենուր ՝ TFC 1։ 2+/1. 3 և mTSA-ի ներսում, պաշտպանված CSA, գաղտնիքները KFC/HSM-ում։
Ռուսական լանդշաֆտ և վերահսկման օրինակներ
Ինքնությունը ՝ մարդիկ (IDP: SSO, MFA, passkeys/FIDO2), մեքենաներ (SPIFFE/SVID, x507/mTLS)։
Սարքերը 'քաղաքականներին համապատասխանելը (MDM/EDR, սկավառակը կոդավորված է, պաթչերը, jailbreak/root - արգելված)։
Ցանցը ՝ L3/L7, ZTNA/SNP-նավակներ, մեշ (Envoy/Istio/Linkerd)։
Ծրագրեր/API: mTSA, OIDC/JWT, հարցումների ստորագրություններ (HMAC), rate limits, DLP/դիմակավորում։
Տվյալները ՝ դասակարգում (Public/Dividential/Restricted), թունավորում/կոդավորում դաշտերի մակարդակում։
Դիտարկումը 'կենտրոնացված լույսեր/հեղինակային, վարքագծային վերլուծություն, SLO/SLA։
Հանրաքվեական ճարտարապետություն (ինքնաթիռների կտրվածքում)
Dell Plane: IdP/CIAM, PDP/PEP (OPA/Envoy), ռուսական և քաղաքական, PKI/CA, սարքերի հավաստագրում։
Plane: mTNA (ZTNA), sidecar-2019 (Envoy) mTRK-ի և L7 քաղաքականության համար, ծառայողական դարպասներ/API GW-ի համար։
DirePlane: Ծառայությունների կատալոգը, CMDB, CI/CD, գաղտնի կառավարման (Vox/KMS), կենտրոնացված աուդիտ։
Հարցման հոսքը (user entap)
1. (SSO + phishing-resistics MFA) Թիվ 2) սարքի գնահատումը (MDM posture) 243) ZTNA-2019 տեղադրում է mTSA մինչև 244) PDP (քաղաքականություն) որոշում է ատրիբուտների հիմքում (ABAC/RBAC) 245) ռիսկի վերագնահատում (ժամանակ, գեո, անոմալիա)։
Ինքնությունը և հեղինակային իրավունքը
IdP/SSO: OIDC/SAML, MFA լռելյայն, FIDO2 (passkeys)։
RBAC/ABAC '+ ենթատեքստի հատկությունները (սարքի կարգավիճակը, բաժինը, ռիսկի պրոֆիլը)։
Just-In-Time (JIT) հասանելիությունը 'ժամանակավոր արտոնություններ ավտոմատ հետ։ break-glass-ը խիստ կարգավորված է։
MTSA մեքենաների համար 'SPIFFE/SVID կամ ներքին PKI-ը հակիրճ հավաստագրություններով։ ավտոմատ նավիգացիոն արտադրություն։
Սարքեր և կոնտեքստ
Կոդավորման ստուգումը (posture) 'OS/EDR տարբերակը, որը ներառում է սկավառակի encript, firewall; non-compli.ru-ն հնարավորություն է տալիս մուտք ունենալ կոդին կամ բլոկին։
Հավաստագրություն ՝ device identity + signed attest.ru (MDM/Endpoint)։
Ցանցային սահմանափակումները 'կողմնակի թունելների բլոկը, հարկադիր կորպորատիվ RF-ը, պաշտպանությունը RF/Windows RTC արտահոսքից։
Ցանցը և միկրովայրկյանները
«Հարթ» MSAN-ից հրաժարվելը 'փոխարենը հատվածներ/VRF և քաղաքականությունը L7-ում։
Mesh: sidecar-2019-ը ապահովում է mTSA-ը, քաղաքականության հեղինակը (OPA/EnvoyProter), հեռուստատեսությունը։
ZTNA/WPP-ը հատուկ ինտեգրման հասանելիությունն է, ոչ թե ցանցին։ հաճախորդը ռուսական բրոքեր է, քաղաքականությունը PDP-ում։
Remote Express: «հաստ» MSN-ի փոխարինումը app-2019-ին; fallback-թունելները սահմանափակված են երթուղիներով/նավահանգիստներով։
Քաղաքական և լուծումների շարժիչ
PDP/PEP: Policy Decision Point (OPA/Styra, Cedar и пр.) + Policy Enforcement Point (Envoy/Istio/Gateway).
Քաղաքականության մոդելը 'կառավարական կանոնները (Rego/Cedar), ստատիկ և կոնտեքստային ատրիբուտները, ռիսկի գնահատումը։
Ռեգոյի օրինակը (պարզեցված)
rego package access. http
default allow = false
allow {
input. user. role == "support"
input. request. path == "/admin/tickets"
input. device. compliant == true time. now_hh >= 8 time. now_hh <= 20
}Որոշումների ուղին 'տրամաբանեք' input '/' resium '/' intain 'համար։
Կոդավորումը և վստահությունը լռելյայն մասին
TLS 1. 2+/1. 3 ամենուր, խիստ ծածկագրիչներ, HSTS, OCMS stapling։
MT.RU ներսում 'ծառայությունը միայն փոխադարձ հավաստագրերով։ բանալիները հակիրճ են (ժամացույց/օրեր)։
Գաղտնիքները ՝ KFC/HSM, secrets (Vox), կարճ TTL, least-privilege ծրագրերի համար։
Դիտարկումը, SLO և արձագանքը
Մետրիկները (նվազագույն հավաքածու)
Մրցույթի և հեղինակային հաջողությունը (%), p95 ժամանակ PDP, p95 TMS-handshake։
Քաղաքականության (անոմալիա/կեղծ) արգելափակված հարցումների տոկոսը։
ZTNA բրոկերների և Mesh-2019-ի հասանելիությունը։
Compliance սարքերի և միտումների մասնաբաժինը։
SLO (օրինակներ)
"ZTNA 3599 հասանելիությունը։ 95 %/մես; p95 authZ decision ≤ 50 мс».
"mTFC 3599 հարցումների մասը։ 9%».
"Ոչ ավելի քան 0։ 1% կեղծ մերժումներ տիրույթում/օր"։
Alarting 'deny, p95 ձեռքերի դեգրադացիա, ոչ որակյալ շղթաներ, compliant սարքերի մասնաբաժնի անկում, աշխարհագրության/ASN անոմալիա։
Պարաչափից դեպի Zero Trust 'ճանապարհային քարտեզը
1. Բուլգարիզացիան 'ծրագրեր, տվյալների հոսքեր, սպառողներ, զգայունություն (PII/քարտային/վճարումներ)։
2. Ինքնությունը և MFA 'SSO և phishing-resistics MFA բոլորի համար։
3. Սարքերի կոնտեքստը ՝ MDM/EDR, հիմնական ինտեգրման քաղաքականությունները, non-compliae բլոկը։
4. Առաջնահերթությունների միկրովայրցումը 'վճարումները, բանկային գրասենյակը, ադմինկան։ mTFC-ի ներդրումը։
5. ZTNA-ը ռուսական հասանելիության համար 'տեղեկատվության միջոցով դիմումների հրապարակումը, մաքրում ենք «լայն SNN»։
6. ABAC-ի քաղաքականությունները 'կենտրոնացված PDP, կառավարական կանոնները, աուդիտը։
7. Ծառայության-մեշի ընդլայնումը 'S2S mTRK, L7 քաղաքականությունը, հեռուստատեսությունը։
8. Ավտոմատիզացիան և SLO 'ալերտինգը, քաղաքական թեստերը (քաղաքական CI), խաղային օրերը ", եթե IDP-ն անհասանելի չէ։ ».
Հատուկ iGaming/fintech
Օրինագծերի կոշտ սեգմենտացիան 'վճարումներ/PII/հակաֆրոդ/բովանդակություն' առանձին պարագծեր և քաղաքականություն։ հասանելի են միայն ZTNA-ով։
PMS/բանկերի հետ փոխազդեցությունը 'allow-list ASN/միջակայքով, mTSA-ը PMS-endpointams, Time-to-Wallet և authZ-ի ձախողումները։
Բովանդակության և գործընկերների մատակարարները 'ժամանակավոր JIT-հասանելի API-ի, կարճ TTL-ի հետ, ինտեգրման աուդիտ։
Կոմպլենսը ՝ PCI DSS/GDPR-ը տվյալների նվազեցումն է, DLP/կեղծանունացում, հասանելի հասանելի է զգայուն բրազիլացիների համար։
Մատակարարման շղթաների անվտանգությունը և CI/CD
Արտեֆակտների ստորագրությունները (SLIM/Provenae) 'բեռնարկղերի ստորագրությունները (cosport), Admission քաղաքականությունը K8s-ում։
SBSA-ը և խոցելիությունը ՝ SBSA-ի (Cyclection DX), policy-gate-ը ռուսական pline-ում։
CI-ի գաղտնիքները 'OIDC-ֆեդեգրաֆիա ամպային KFC-ի համար; ստատիկ բանալիների արգելքը։
Ռոտացիաներ ՝ հաճախակի, ավտոմատ; հարկադիր ակնարկ պատահականության ժամանակ։
Տիպիկ սխալներ և հակատիպեր
«ZTNA = նոր PPN»: Ցանցի հրապարակումը ծրագրերի փոխարեն Zero Trust չէ։
Սարքերի ստուգում չկա. MFA-ն կա, բայց վարակված/ձեռքով սարքերը հասանելի են։
Մեկ սուպեր օգտագործողը 'JIT-ի բացակայությունը և առանձին դերերը։
Ծառայությունների կոդում քաղաքականությունները 'կենտրոնացված ինտեգրման/նորարարության անհնարինությունը։
MTSA-ը մասնակի է 'ծառայությունների մի մասը առանց mTSA-ի, որը կոչվում է «թափառող»։
Զրոյական UX 'MFA-ի ավելցուկ հարցումները, SSO բացակայությունը։ արդյունքը թիմերի դիմադրությունն է։
Օգտագործողների հասանելիությունը ՝ ZTNA/PPP բրոքեր + IDP (OIDC, FIDO2 MFA)։
Ներերակային անվտանգություն '(Istio/Linkerd) + OPA/Envoy authZ։
PKI: SPIFFE/SVID կամ Vox PKI-ը կարճ TTL-ի հետ։
Քաղաքական գործիչները ՝ OPA/Rego կամ Cedar; պահել Git-ում, ստուգել CI-ում (policy-tes.ru)։
Լոգներն ու հեռուստատեսությունը ՝ OpenTelemetry-ը կենտրոնացված վերլուծություն է, անոմալիաների մանկություն։
Միգրացիայի օրինակներ (բեկորներ)
Envoy (mutual-TSA ծառայությունների միջև)
yaml static_resources:
listeners:
- name: listener_https filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager route_config: { name: local_route, virtual_hosts: [] }
transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params: { tls_minimum_protocol_version: TLSv1_2 }
tls_certificates:
- certificate_chain: { filename: /certs/tls. crt }
private_key: { filename: /certs/tls. key }
validation_context:
trusted_ca: { filename: /certs/ca. crt }
require_signed_certificate: trueOPA/Rego: զեկույցների հասանելիությունը միայն «finance» -ից, compliance սարքերից, աշխատանքային ժամերին
rego package policy. reports
default allow = false
allow {
input. user. dept == "finance"
input. device. compliant == true input. resource == "reports/profit"
time. now_hh >= 8 time. now_hh <= 21
}Zero Trust-ի ներդրման թուղթ
1. Միացրեք SSO և FIDO2 MFA-ը բոլոր օգտագործողների և կիսագնդի համար։
2. Ներդնել device posture (MDM/EDR) non-compliae արգելափակումով։
3. Թարգմանել օգտագործողի հասանելիությունը ZTNA (per-app), թողնել CPN-ը միայն նեղ S2S ալիքների համար։
4. Ներսում 'mTRK լռելյայն + կարճատև հավաստագրեր։
5. Կենտրոնացնել քաղաքականությունը (PDP/OPA), պահել Git-ում, փորձարկել CI-ում։
6. Սեգմենացնել զգայուն վճարումները (վճարումներ/PII/back-գրասենյակ) և սահմանափակել east-west-ը։
7. Միացրեք հեռաչափությունը, SLO-ը և ալերտինգը auth/authZ, mTRC-մասը, posture ազդանշանները։
8. Անցկացնել «game days» (IDP-ի մերժումը, շարժիչի արտահոսքը, բրոկերերի նվազումը) և շտկել SOP/ravates։
FAQ
Zero Trust-ը ամբողջովին փոխարինում է CPN-ը։
Ռուսական հասանելիության համար, այո, հօգուտ ZTNA-ի։ S2S-մայրուղիների համար SDN/IPsec-ը կարող է մնալ, բայց mTSA-ի և խիստ քաղաքական գործիչների հետ։
Կարո՞ ղ է ZT-ն վատացնել UX-ը։
Եթե խելամիտ չէ։ SSO + FIDO2-ի, հարմարվողական MFA-ի և UX-ի հասանելիության per-app-ի հետ սովորաբար բարելավվում է։
Արդյո՞ ք պետք է ներդնել մեշ ծառայությունը։
Միշտ չէ, որ։ Բայց մեծ միկրովայրկյան միջավայրի համար mesh-ը արմատապես պարզեցնում է mTSA/քաղաքականությունը/հեռաչափությունը։
Արդյունքը
Zero Trust-ը ոչ թե ապրանք է, այլ ճարտարապետական առարկան 'ինքնությունը որպես նոր պարիմետր, սարքերի ենթատեքստը, ծրագրավորման հասանելիությունը (ZTNA), միկրովայրկումը և mTSA-ն ամենուր, կենտրոնացված քաղաքականությունները և չափված ստանդարտները։ Հետևելով ճանապարհային քարտեզին և չեկի թերթին, դուք կնվազեցնեք հարձակման մակերեսը, արագացրեք աուդիտը և կստանաք կայուն անվտանգություն առանց «լռելյայն վստահության»։