🔒 Безопасность 📅 15.04.2026 ⏱️ 19 мин чтения ✍️ АйТи Фреш 👁 —

Zero Trust: сетевая безопасность без периметра

Периметр мёртв: почему VPN + firewall недостаточно

Компания «ФинКорп» — 200 сотрудников, классическая архитектура: VPN для удалёнщиков, firewall на периметре, плоская внутренняя сеть. Инцидент: сотрудник открыл фишинговое письмо → малварь на рабочей станции → lateral movement по внутренней сети → доступ к финансовой БД за 2 часа.

Проблема периметральной модели: «внутри = доверенный». Если злоумышленник прорвал периметр (фишинг, VPN-компрометация, insider threat) — он получает доступ ко всему.

Zero Trust принцип: «Never trust, always verify» — не доверяй никому, проверяй каждый запрос.

Периметральная модель	Zero Trust
VPN = доступ ко всей сети	Доступ только к конкретным ресурсам
IP-based правила (firewall)	Identity-based правила (кто + что + откуда)
Плоская внутренняя сеть	Микросегментация
Проверка при входе	Continuous verification (каждый запрос)
Доверие к внутреннему трафику	Шифрование всего трафика (mTLS)

Пять столпов Zero Trust

1. Identity verification — каждый запрос аутентифицирован

# Keycloak/Okta для пользователей
# Service accounts + mTLS для сервисов
# Пример: Envoy sidecar проверяет JWT на каждый запрос
- name: envoy.filters.http.jwt_authn
  typed_config:
    providers:
      keycloak:
        issuer: https://auth.fincorp.ru/realms/production
        audiences: ["api-gateway"]
        remote_jwks:
          http_uri:
            uri: https://auth.fincorp.ru/realms/production/protocol/openid-connect/certs

2. Device trust — проверка состояния устройства

OS обновлена? Антивирус активен? Диск зашифрован?
Инструменты: CrowdStrike, Kolide, osquery

3. Microsegmentation — сервис A может обращаться только к сервису B

# Kubernetes NetworkPolicy
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-frontend-to-api
spec:
  podSelector:
    matchLabels:
      app: api-service
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: frontend
    ports:
    - port: 8080

4. Least privilege — минимальные необходимые права

5. Continuous monitoring — аномалии детектируются в реальном времени

Практический план: от VPN к Zero Trust за 3 месяца

«ФинКорп» внедрял Zero Trust поэтапно, не ломая существующую инфраструктуру:

Месяц 1: Identity foundation

Keycloak как единый IdP (SSO для всех сервисов)
Обязательная 2FA для всех пользователей
Service accounts с JWT для межсервисной коммуникации

Месяц 2: Microsegmentation

Kubernetes: NetworkPolicy для каждого namespace
Cilium для L7 policy (HTTP path/method filtering)
Серверы вне K8s: WireGuard mesh (Netbird) + ACL

Месяц 3: Access proxy + monitoring

Замена VPN на ZTNA-прокси (Pomerium / Cloudflare Access)
Логирование всех access decisions
Алерты на аномальный доступ

# Pomerium — open-source ZTNA proxy
# Заменяет VPN для доступа к веб-сервисам
# pomerium-config.yaml
routes:
  - from: https://grafana.fincorp.ru
    to: http://grafana.internal:3000
    policy:
      - allow:
          and:
            - email:
                is: "@fincorp.ru"
            - groups:
                has: "engineering"
  - from: https://admin.fincorp.ru
    to: http://admin.internal:8080
    policy:
      - allow:
          and:
            - groups:
                has: "platform-admins"
            - device:
                is_valid_client_certificate: true

mTLS: шифрование всего внутреннего трафика

В Zero Trust внутренний трафик тоже шифруется — «сеть не доверенная». Mutual TLS: обе стороны проверяют сертификаты друг друга.

# Через Istio service mesh — mTLS автоматически
apiVersion: security.istio.io/v1
kind: PeerAuthentication
metadata:
  name: default
  namespace: production
spec:
  mtls:
    mode: STRICT  # Все соединения — только mTLS

# Или через Cilium — WireGuard encryption между нодами
helm upgrade cilium cilium/cilium \
  --set encryption.enabled=true \
  --set encryption.type=wireguard

Результат: даже если злоумышленник получит доступ к внутренней сети, он не сможет:

Прослушивать трафик (всё зашифровано)
Подделать запросы (mTLS проверяет identity)
Обратиться к сервису без авторизации (policy enforcement)

Результаты «ФинКорп»

Метрика	До (VPN + firewall)	После (Zero Trust)
Lateral movement при компрометации	Свободный	Заблокирован
Время от компрометации до обнаружения	~2 часа	~5 минут (аномалия)
VPN-тикеты в ServiceDesk	~40/мес	0 (нет VPN)
Доступ для подрядчиков	VPN → вся сеть	Конкретный сервис
Audit trail	Только firewall logs	Каждый запрос logged

Zero Trust — это не продукт, а архитектура. Нельзя «купить Zero Trust». Это набор принципов: identity verification, least privilege, microsegmentation, continuous monitoring. Инструменты — Keycloak, Cilium, Pomerium, Istio — реализуют эти принципы.

Часто задаваемые вопросы

Для веб-приложений — да, ZTNA-прокси (Pomerium, Cloudflare Access) заменяет VPN полностью. Для SSH/RDP — WireGuard mesh с identity-based ACL. Для legacy-приложений с толстым клиентом — может потребоваться гибридный подход (VPN для legacy + ZTNA для остального).

Open-source стек (Keycloak + Cilium + Pomerium): $0 за лицензии, 2-3 месяца работы инженера. Managed (Cloudflare Access + Okta): $5-15/user/мес. Enterprise (Zscaler, Palo Alto): $20-50/user/мес. Для компании из 200 человек open-source — оптимальный выбор.

JWT verification — 0.1-0.5 мс на запрос. mTLS handshake — 1-2 мс (один раз при установке соединения). NetworkPolicy — 0 overhead (eBPF в Cilium). Суммарно: +1-2 мс к latency при первом запросе, далее незаметно.

Шаг 1: SSO (Keycloak) + 2FA для всех сервисов. Это даёт максимальный эффект при минимальных усилиях. Шаг 2: NetworkPolicy в Kubernetes. Шаг 3: ZTNA-прокси для замены VPN. Шаг 4: mTLS и continuous monitoring. Каждый шаг самоценен.

BeyondCorp — реализация Zero Trust от Google. Принципы те же: identity-based access, device trust, no VPN. Google опубликовал whitepaper в 2014, что популяризировало подход. BeyondCorp Enterprise — коммерческий продукт Google. Open-source альтернативы: Pomerium, Boundary (HashiCorp).