Zero Trust arhitekturasy
Gysgaça gysgaça
Zero Trust (ZT) - tor perimetri indi ynanylan zona hasaplanmaýan howpsuzlyk modeli. Her haýyş (user → app, service → service, device → network) kontekstli signallary (şahsyýet, enjamyň ýagdaýy, ýerleşýän ýeri, töwekgelçiligi, özüni alyp barşy) göz öňünde tutup, aç-açan tassyklamakdan, ygtyýarlylandyrmakdan we şifrlemekden geçýär. Maksat blast radiusyny azaltmak, lateral hereket töwekgelçiligini azaltmak we laýyklygy ýönekeýleşdirmek.
Zero Trust esasy ýörelgeleri
1. Aç-açan ynam ýok: ynam/VPN/ASN torundan miras galmaýar.
2. Giriş iň az zerur: "diňe häzirki zerur zatlary bermek" syýasaty.
3. Üznüksiz barlamak: sessiýalara we belliklere töwekgelçilik we kontekste yzygiderli aşa baha bermek.
4. Eglişik çaklamasy: segmentasiýa, gözegçilik, çalt kontainment we açarlaryň aýlanmagy.
5. Hemme ýerde şifrlemek: TLS 1. 2+/1. 3 we mTLS data-planes içinde, DNS tarapyndan goralýar, KMS/HSM-de syrlar.
Maksatly landşaft we gözegçilik domenleri
Şahsyýet: adamlar (IdP: SSO, MFA, passkeys/FIDO2), maşynlar (SPIFFE/SVID, x509/mTLS).
Enjamlar: syýasata laýyklyk (MDM/EDR, disk şifrlenen, ýama, jailbreak/root - gadagan).
Tor: mikrosegmentasiýa L3/L7, ZTNA/SDP-şlýuzlar, hyzmat-mesh (Envoy/Istio/Linkerd).
Programmalar/API: mTLS, OIDC/JWT, haýyşlaryň gollary (HMAC), rate limits, DLP/maskalanma.
Maglumatlar: meýdan derejesinde klassifikasiýa (Public/Confidential/Restricted), bellik/şifrlemek.
Syn edilişi: merkezleşdirilen autentifikasiýa/ygtyýarnama ýazgylary, özüni alyp barşyň seljermesi, SLO/SLA.
Salgylanma arhitekturasy (tekizlikler boýunça)
Control Plane: IdP/CIAM, PDP/PEP (OPA/Envoy), Syýasat kataloglary, PKI/CA, Enjam şahadatnamasy.
Data Plane: mTLS we L7 syýasaty, hyzmat şlýuzlary/API GW üçin proxy (ZTNA), sidecar-proxy (Envoy).
Management Plane: hyzmatlar katalogy, CMDB, CI/CD, gizlin dolandyryş (Vault/KMS), merkezleşdirilen audit.
1. Identifikasiýa (SSO + phishing-resistant MFA) → 2) Enjamy bahalandyrmak (MDM posture) → 3) ZTNA-proxy mTLS-i programma goýýar → 4) PDP (syýasatlar) atributlar esasynda karar berýär (ABAC/RBAC) → 5) üznüksiz töwekgelçiligi gaýtadan bahalandyrmak (wagt, geo, anomaliýalar).
Şahsyýet we ygtyýarnama
IdP/SSO: OIDC/SAML, MFA, has gowusy FIDO2 (passkeys).
RBAC/ABAC: rollar + kontekstiň atributlary (enjamyň ýagdaýy, bölümi, töwekgelçilik profili).
Just-In-Time (JIT) giriş: awtomatiki yzyna çagyryş bilen wagtlaýyn artykmaçlyklar; break-glass - berk düzgünleşdirilýär.
maşynlar üçin mTLS: SPIFFE/SVID ýa-da gysga möhletli şahadatnamalar bilen içerki PKI; awtomatiki aýlaw goýberilişi.
Enjamlar we kontekst
Laýyklyk barlagy (posture): OS/EDR wersiýasy, disk-enkript, firewall; non-compliant → iň pes ýa-da blok.
Attestasiýa: device identity + signed attestations (MDM/Endpoint).
Tor çäklendirmeleri: üçünji tarap tunelleri, mejbury korporatiw DNS, DNS/WebRTC syzdyrmalaryndan goramak.
Tor we mikrosegmentasiýa
"Tekiz" VLAN-dan ýüz öwürmek: ýerine - segmentler/VRF we L7 syýasaty.
Service Mesh: sidecar-proxy mTLS-i, syýasat boýunça ygtyýarlylygy (OPA/EnvoyFilter), telemetriýany üpjün edýär.
ZTNA/SDP: tora däl-de, belli bir programma girmek; müşderi broker, PDP-de syýasat.
Remote Access: "galyň" VPN-i app-proxy bilen çalyşmak; fallback-tuneller marşrutlar/portlar boýunça çäklidir.
Syýasatlar we çözgütleriň hereketlendirijisi
PDP/PEP: Policy Decision Point (OPA/Styra, Cedar и пр.) + Policy Enforcement Point (Envoy/Istio/Gateway).
Syýasatyň modeli: deklaratiw düzgünler (Rego/Cedar), statiki we kontekst atributlar, töwekgelçilige baha bermek.
rego package access. http
default allow = false
allow {
input. user. role == "support"
input. request. path == "/admin/tickets"
input. device. compliant == true time. now_hh >= 8 time. now_hh <= 20
}Çözgütleri yzarlamak: audit üçin 'input '/' result '/' explain' logyny düzüň.
Şifrlemek we ynam
TLS 1. 2+/1. 3 hemme ýerde, berk şifrlemek, HSTS, OCSP stapling.
mTLS içinde: diňe özara şahadatnamalar boýunça hyzmat; gysga ömürli açarlar (sagat/gün).
Syrlar: KMS/HSM, dynamic secrets (Vault), gysga TTL, programmalar üçin least-privilege.
Synlamak, SLO we jogap
Metrikler (iň az):- Tassyklamanyň we ygtyýarnamanyň üstünligi (%), PDP kararynyň p95 wagty, p95 TLS-handshake.
- Syýasat tarapyndan petiklenen haýyşlaryň göterimi (anomaliýalar/ýalan).
- ZTNA dellallarynyň we Mesh-kontrolleriň elýeterliligi.
- Compliant enjamlaryň we tendensiýalaryň paýy.
- "ZTNA elýeterliligi ≥ 99. 95 %/aý; p95 authZ decision ≤ 50 мс».
- "mTLS bilen haýyşlaryň paýy ≥ 99. 9%».
- "0-dan köp bolmaly däldir. 1% ýalan girmekden ýüz öwürmek/gije-gündiz".
Alarting: deny partlamalary, el çarpmagyň pese gaçmagy p95, galyp däl zynjyrlar, compliant enjamlaryň paýynyň peselmegi, geografiýanyň anomaliýalary/ASN.
Perimetrden Zero Trust -a geçmek: Ýol kartasy
1. Inwentarizasiýa: programmalar, maglumatlaryň akymlary, sarp edijiler, duýgurlyk (PII/kartoçka/tölegler).
2. Şahsyýet we MFA: SSO we phishing-resistant MFA hemmeler üçin.
3. Enjamlaryň konteksti: MDM/EDR, esasy laýyklyk syýasaty, birleşdirilmeýän blok.
4. Ileri tutulýan ýollaryň mikrosegmentasiýasy: tölegler, bek-ofis, dolandyryjy; mTLS girişi.
5. Ulanyjy elýeterliligi üçin ZTNA: Proxy arkaly programmalary çap etmek, "giň VPN" aýyrmak.
6. ABAC syýasaty: merkezleşdirilen PDP, deklaratiw düzgünler, audit.
7. Hyzmat-meshde giňeltmek: S2S mTLS, L7 syýasaty, telemetriýa.
8. Awtomatlaşdyryş we SLO: alerting, syýasat synaglary (CI), oýun günleri "IdP elýeterli bolmasa näme etmeli? ».
iGaming/fintech üçin aýratynlyklar
Domenleriň berk segmentasiýasy: tölegler/PII/antifrod/mazmun - aýry-aýry perimetrler we syýasatlar; Diňe ZTNA arkaly elýeterlidir.
PSP/banklar bilen özara gatnaşygy: ASN/diapazonlar boýunça allow-list, PSP-endpointlere mTLS, Time-to-Wallet monitoringi we authZ-de şowsuzlyklar.
Mazmun üpjün edijiler we hyzmatdaşlar: wagtlaýyn JIT-API elýeterliligi, gysga TTL belgileri, integrasiýa barlagy.
Gabat gelmek: PCI DSS/GDPR - maglumatlary azaltmak, DLP/lakamlaşdyrmak, duýgur tablisalara girişi hasaba almak.
Üpjünçilik zynjyrlarynyň howpsuzlygy we CI/CD
Artefaktlaryň gollary (SLSA/Provenance): konteýnerleriň gollary (cosign), K8s Admission syýasaty.
SBOM we gowşaklyklar: SBOM (CycloneDX), paýlaýjdaky policy-gate.
CI-de syrlar: OIDC-Bulut KMS federasiýasy; statiki açarlary gadagan etmek.
Aýlanmalar: ýygy-ýygydan, awtomatiki; wakalarda mejbury revoke.
Adaty ýalňyşlyklar we anti-patternler
"ZTNA = täze VPN": programmalaryň ýerine tory çap etmek - Zero Trust däl.
Enjam barlagy ýok: MFA bar, ýöne ýokaşan/rutirlenen enjam elýeterlidir.
Bir super ulanyjy: JIT we aýratyn rollaryň ýoklugy.
Hyzmatlar kodundaky syýasatlar: merkezleşdirilen auditiň/täzelenmegiň mümkin däldigi.
mTLS bölekleýin: mTLS → "deşikli" kontursyz hyzmatlaryň bir bölegi.
Nol UX: artykmaç MFA soraglary, SSO ýoklugy; netijesi - toparlara garşylyk.
Tehnologiýalary saýlamak boýunça kiçi gollanma
Ulanyjy girişi: ZTNA/SDP broker + IdP (OIDC, FIDO2 MFA).
Hyzmat içi howpsuzlyk: hyzmat-meş (Istio/Linkerd) + OPA/Envoy authZ.
PKI: SPIFFE/SVID ýa-da Vault PKI gysga TTL.
Syýasatlar: OPA/Rego ýa-da Cedar; Git-de saklamak, CI-de barlamak (policy-tests).
Logi we telemetriýa: OpenTelemetry → merkezleşdirilen derňew, anomaliýalaryň detekti.
Konfigurasiýa mysallary (bölekler)
Envoy (hyzmatlaryň arasynda myutual-TLS)
yaml static_resources:
listeners:
- name: listener_https filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager route_config: { name: local_route, virtual_hosts: [] }
transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params: { tls_minimum_protocol_version: TLSv1_2 }
tls_certificates:
- certificate_chain: { filename: /certs/tls. crt }
private_key: { filename: /certs/tls. key }
validation_context:
trusted_ca: { filename: /certs/ca. crt }
require_signed_certificate: trueOPA/Rego: hasabatlara diňe "finansdan", compliant-enjamlardan, iş sagatlarynda girmek
rego package policy. reports
default allow = false
allow {
input. user. dept == "finance"
input. device. compliant == true input. resource == "reports/profit"
time. now_hh >= 8 time. now_hh <= 21
}"Zero Trust" -yň çek sanawy
1. SSO we MFA FIDO2 ähli ulanyjylar we administratorlar üçin açyň.
2. Enjam posture (MDM/EDR) belläň.
3. Ulanyjy elýeterliligini ZTNA-a (per-app) geçiriň, VPN-i diňe dar S2S kanallary üçin goýuň.
4. Içinde - mTLS standart + gysga ömürli şahadatnamalar.
5. Syýasatlary merkezleşdiriň (PDP/OPA), Git-de saklaň, CI-de synagdan geçiriň.
6. Duýgur domenleri bölmek (tölegler/PII/arka ofis) we gündogar-günbatary çäklendirmek.
7. Telemetriýany, SLO-ny we auth/authZ, mTLS-paýyna, posture-signallaryna alerting.
8. "Oýun günleri" geçiriň (IdP şowsuzlygy, açar syzmagy, dellalyň ýykylmagy) we SOP/yzyna gaýtarmalary düzetmek.
FAQ
Zero Trust VPN-iň ornuny tutýarmy?
Ulanyjy girişi üçin - hawa, ZTNA-nyň peýdasyna. S2S-magistrallar üçin VPN/IPsec galyp biler, ýöne mTLS we berk syýasatlar bilen.
ZT UX-ni hasam erbetleşdirip bilermi?
Pikirsiz bolsa. SSO + FIDO2, uýgunlaşdyrylan MFA we per-app UX elýeterliligi bilen adatça gowulaşýar.
Hyzmat-meş girizmek hökmanymy?
Hemişe däl. Emma uly mikroservis gurşawy üçin mesh mTLS/syýasat/telemetriýany düýpgöter ýönekeýleşdirýär.
Jemi
Zero Trust önüm däl-de, binagärlik düzgüni: täze perimetr, enjamlaryň mazmuny, programma elýeterliligi (ZTNA), mikrosegmentasiýa we mTLS hemme ýerde, merkezleşdirilen syýasatçylar we ölçenip bolýan ygtybarlylyk. Roadol kartasyna we çek sanawyna eýerip, hüjümiň ýüzüni azaldar, barlagy çaltlaşdyrar we "adaty ynam" bolmazdan durnukly howpsuzlygy alarsyňyz.