Zero Trust Network Architecture: практическая миграция с периметральной безопасности

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я проектировал десятки корпоративных сетей — от классических «плоских» до сегментированных с DMZ и виртуальными контурами. С 2022 года почти каждый новый проект — это Zero Trust в том или ином виде. Российские компании ещё догоняют тренд (американцы массово внедряли с 2020-го), но запросы уже идут: «мы не хотим больше VPN, мы не хотим доверять устройствам только за то, что они в офисе». В этой статье — что такое Zero Trust на практике, с чего начать и сколько это стоит для бизнеса до 200 сотрудников.

Почему классический периметр больше не работает

Модель периметральной безопасности родилась в 1990-х: есть офис, есть межсетевой экран, внутри офиса все свои и доверенные, снаружи — злоумышленники. Всё просто. Но в 2026 году эта модель давно не соответствует реальности:

• Удалёнка стала нормой. Половина сотрудников работает из дома или командировок.
• Облачные сервисы. Данные живут в Microsoft 365, Google Workspace, Яндекс.Облаке — это за периметром.
• BYOD и гибридные устройства. Личный ноутбук сотрудника, корпоративный телефон, домашний компьютер — всё подключается к ресурсам.
• Lateral movement атак. Злоумышленник пробивает одну машину в офисе (через фишинг) и по плоской сети добирается до 1С и файлового сервера. Классический сценарий атаки 2023–2026 годов.
• Инсайдеры. Уволенный админ с не отозванными доступами — риск минимум на 20% инцидентов в малом и среднем бизнесе.

Принципы Zero Trust

Zero Trust сформулирован в 2009 году Джоном Киндервагом (Forrester), а в 2020-м формализован в NIST SP 800-207. Ключевые постулаты:

1. Никогда не доверяй, всегда проверяй. Каждый запрос доступа проверяется заново, независимо от местоположения источника.
2. Предполагай взлом. Действуй так, как будто злоумышленник уже внутри сети — и минимизируй его возможности.
3. Наименьшие привилегии. Пользователь и устройство получают доступ только к тому, что нужно для работы сейчас — не больше.
4. Identity-первый подход. Основа политики — не IP-адрес, а личность пользователя + состояние устройства + контекст.
5. Микросегментация. Сеть разбивается на маленькие зоны, трафик между ними контролируется.
6. Непрерывный мониторинг. Аномальное поведение → отзыв доступа в реальном времени.

Компоненты архитектуры Zero Trust

Шаг 1: инвентаризация и сегментация

Я всегда начинаю с инвентаризации. Нельзя защитить то, о чём не знаешь. За неделю команда собирает:

• Список всех сервисов (1С, Битрикс24, почта, файл-сервер, CRM, телефония).
• Список пользователей с ролями и правами.
• Список устройств: корпоративные ПК, ноутбуки, телефоны, принтеры, IoT.
• Схему сетевого трафика между сервисами (кто к кому ходит).
• Список внешних подключений: VPN, RDP, SSH, SFTP.

Дальше — VLAN-сегментация. Это фундамент. Минимум четыре VLAN:

VLAN 10 - Рабочие станции сотрудников
VLAN 20 - Серверы продакшена
VLAN 30 - Гостевая сеть (Wi-Fi для клиентов)
VLAN 40 - IoT, принтеры, камеры
VLAN 50 - Администрирование (management)
VLAN 60 - IP-телефония

Межсетевое взаимодействие — только через файрвол с явно прописанными правилами. Принтер из VLAN 40 не должен ходить в VLAN 20 к серверу, даже по ping.

Шаг 2: identity-центричная архитектура

Второй обязательный шаг — единый IdP. Я выбираю Microsoft Entra ID (бывший Azure AD) для компаний на Microsoft 365, Keycloak для тех, кто хочет open source. Все сервисы подключаются через SSO (SAML 2.0 или OIDC):

• Office 365, Google Workspace — нативный SSO.
• Битрикс24 — встроенная интеграция с Entra ID.
• 1С-Битрикс — плагин SAML SSO.
• VPN (WireGuard, OpenVPN) — через RADIUS и FreeRADIUS+OTP.
• Внутренние веб-сервисы — oauth2-proxy перед Nginx.

После централизации identity включаем MFA везде. Entra ID Conditional Access позволяет задавать правила: «с домашнего ПК — MFA всегда, с корпоративного доверенного устройства и офисной сети — только пароль, из-за рубежа — блок».

Шаг 3: условный доступ и проверка устройства

Условный доступ (Conditional Access) — это правила вида «разрешить вход если». Типичный пример политики:

Пользователь: все сотрудники
Приложение: 1С-Битрикс24
Условия:
  - Устройство compliant в Intune = true
  - Состояние MFA выполнено
  - Местоположение: любое
  - IP не в списке опасных стран
Действие: разрешить доступ
Срок сессии: 8 часов, потом перелогин

«Compliant» означает, что устройство проверено MDM-системой: шифрование диска включено, антивирус обновлён, последняя установленная ОС не старше 30 дней, включён пароль или биометрия. Если хотя бы одно из условий не выполняется — доступ блокируется, и пользователь получает инструкцию «обновитесь, потом заходите».

Шаг 4: ZTNA вместо VPN

ZTNA (Zero Trust Network Access) — замена классическому VPN. Вместо «открыл туннель — получил доступ ко всей сети» — доступ к конкретному приложению по имени, с проверкой MFA и устройства на каждый запрос.

Для российских клиентов я чаще использую Twingate (SaaS) или Pangolin (self-hosted open source). В европейских и американских компаниях популярнее Cloudflare Access и Zscaler.

# Pangolin - self-hosted ZTNA
docker run -d --name pangolin \
  -p 3000:3000 -p 443:443 \
  -v /opt/pangolin:/app/data \
  fossorial/pangolin:latest

# Далее через web-UI:
# - Регистрация первого admin
# - Настройка SSO с Entra ID
# - Добавление внутренних ресурсов
# - Раздача newt-агентов клиентам

Шаг 5: микросегментация серверов

Микросегментация — следующий уровень после VLAN. Правила строятся на уровне отдельного сервера/контейнера: «веб-сервер может общаться только с application-сервером на порту 8080, больше ни с кем». Вариантов несколько:

• iptables-скрипты, управляемые через Ansible — для простых инсталляций.
• VMware NSX — для крупных виртуализаций.
• Cilium — для Kubernetes-кластеров с eBPF-уровнем.
• Host-based firewalls через SCCM/Intune — для Windows-серверов.

Реальный кейс: переход с периметра на Zero Trust

В феврале 2026 клиент — юридическая фирма на 85 человек, 8 серверов, офис в центре Москвы — попросил отказаться от классической модели. Ранее: домен AD с плоской сетью, VPN для удалёнки, все сервисы доступны из локалки без дополнительной аутентификации. За 7 недель внедрения (по пятницам, без остановки работы) мы сделали: полный аудит, VLAN-сегментация на их Cisco-свитчах, миграция на Entra ID + Microsoft 365 E5, MFA для всех, Intune с политиками compliance, замена OpenVPN на Twingate с MFA, oauth2-proxy перед внутренним Битрикс24. Бюджет проекта — 680 000 руб. работ + лицензии Microsoft E5. Эффект: после одной из попыток фишинга в апреле 2026 у сотрудника украли пароль — но MFA + compliance устройства не дали злоумышленнику войти. До Zero Trust это почти гарантированно закончилось бы компрометацией. У нас на практике такой переход окупается при первой же серьёзной попытке атаки.

План внедрения для среднего офиса

Типичная дорожная карта на полгода для компании 50–200 сотрудников:

1. Месяц 1. Инвентаризация, VLAN-сегментация, базовый аудит прав.
2. Месяц 2. Миграция на Entra ID / Keycloak как единый IdP. SSO для Office 365, Google, Битрикс.
3. Месяц 3. Принудительный MFA. Conditional Access для внешних сервисов.
4. Месяц 4. MDM (Intune/Jamf), compliance-политики для корпоративных устройств.
5. Месяц 5. ZTNA-шлюз вместо VPN. Миграция удалённых сотрудников.
6. Месяц 6. Микросегментация серверов, SIEM с правилами аномалий, регламент инцидент-реагирования.

Типичные ошибки при миграции

• Всё сразу. Попытка внедрить Zero Trust за месяц ломает работу бизнеса. Поэтапно — минимум полгода.
• Без инвентаризации. Не знаете о сервисе, забыли его сегментировать — туда лезет злоумышленник.
• MFA только на VPN. Забыли про SaaS-сервисы — почта, CRM, облачные файлы остаются уязвимы.
• Без отзыва старых учёток. Бывший сотрудник заходит через локальную учётку AD, потому что про неё забыли.
• Жёсткий compliance сразу. Блокируют всё подряд, пользователи не могут работать — руководство откатывает проект назад.
• Только контуры без микросегментации. Внутри VLAN серверов всё равно плоская сеть — lateral movement возможен.

FAQ — частые вопросы по Zero Trust

Что такое Zero Trust простыми словами?

Zero Trust — это подход, при котором сеть никому не доверяет по умолчанию. Даже если пользователь сидит в офисе в корпоративной сети, он должен доказывать своё право на каждый конкретный ресурс — через MFA, проверку устройства и контекста. Старая модель «зашёл в офис = получил доступ ко всему» отменяется.

Подходит ли Zero Trust для малого бизнеса?

Да, базовые принципы работают в любой компании. В офисе на 20 человек можно внедрить MFA на критичные сервисы, VLAN-сегментацию гостевой сети, условный доступ к облачным сервисам через Entra ID. Полномасштабная ZTNA с микросегментацией — уже для 100+ сотрудников.

Чем ZTNA отличается от VPN?

VPN даёт доступ ко всей подсети — залогинился, и видишь весь офис. ZTNA выдаёт доступ к конкретному приложению с проверкой идентичности и устройства на каждый запрос. Уволился сотрудник — ZTNA автоматом отключила все его сессии, в отличие от VPN.

Сколько стоит внедрение Zero Trust?

Базовый уровень (MFA + сегментация + условный доступ) — от 200 000 руб. для офиса 50 ПК. Полноценный ZTNA с микросегментацией (Cloudflare Access, Zscaler, Twingate или open-source Pangolin) — от 800 000 руб. и выше. Экономия — отсутствие инцидентов и уход от VPN-лицензий.

С чего начать переход к Zero Trust?

Первое — инвентаризация: какие сервисы, кто ими пользуется, с каких устройств. Второе — MFA на все внешние сервисы (Entra ID, VPN, почта). Третье — сегментация сети на VLAN (ПК, серверы, гостевая, IoT). Дальше — условный доступ и микросегментация. Никогда не пытайтесь внедрить всё сразу.