У нас в «ФинКорп» работало 200 сотрудников, и архитектура была классической: для удалёнщиков — VPN, на периметре — firewall, а внутри — просто плоская сеть. Ну, и как это обычно бывает, рано или поздно случается беда: один из сотрудников открыл фишинговое письмо. Тут же на рабочую станцию села малварь, начала двигаться по внутренней сети (это мы называем lateral movement) и, конечно, добралась до нашей финансовой БД. Вся эта история заняла всего 2 часа.
Слабое место периметральной модели в одной мысли: «внутри — значит доверенный». Стоит злоумышленнику пробить периметр (фишинг, скомпрометированный VPN, инсайдер) — и перед ним открыто всё.
Принцип Zero Trust, по сути, очень прост и звучит так: «Never trust, always verify». Это значит — не доверяйте никому и проверяйте буквально каждый запрос.
| Периметральная модель | Zero Trust |
|---|---|
| VPN = доступ ко всей сети | Доступ только к конкретным ресурсам |
| IP-based правила (firewall) | Identity-based правила (кто + что + откуда) |
| Плоская внутренняя сеть | Микросегментация |
| Проверка при входе | Continuous verification (каждый запрос) |
| Доверие к внутреннему трафику | Шифрование всего трафика (mTLS) |

Комментарии 0