Старая модель «замок и ров» строилась на простой идее: всё внутри сети — своё, значит, доверенное. Файрвол держит периметр, а что происходит внутри — никого особо не волнует. На практике эта схема давно рассыпалась: VPN размывает периметр до неузнаваемости, фишинг спокойно обходит файрвол, а злоумышленник, попав внутрь, может неделями ползти по сети — и никто его не остановит.
Zero Trust — модель, где доверие не выдаётся автоматически никому: ни пользователю, ни устройству, ни самой сети. Каждый запрос на доступ проходит проверку — без исключений, вне зависимости от того, откуда он пришёл.
Три ключевых принципа:
- Verify explicitly — проверяйте каждый запрос по всем доступным сигналам: кто пользователь, с какого устройства, откуда подключается, в какое время, к каким данным хочет получить доступ
- Use least privilege access — давайте ровно столько доступа, сколько нужно прямо сейчас. Не больше. JIT/JEA — ваши лучшие друзья
- Assume breach — проектируйте систему исходя из того, что злоумышленник уже внутри. Сегментация сети здесь не паранойя, а способ удержать радиус поражения в разумных пределах
Оставить комментарий