Компании всё чаще декларируют переход на Zero Trust, но за красивым термином нередко скрывается набор разрозненных мер, а не цельная архитектура. Разберёмся, что такое нулевое доверие на самом деле и почему для него важна не просто концепция, а обкатанная, масштабируемая платформа.
Что такое Zero Trust
Zero Trust — это отдельная архитектура безопасного подключения, построенная на принципе минимально необходимых привилегий. Пользователь или сервис получает доступ только к тем ИТ-ресурсам, которые нужны ему для работы, и не более того. Ключевое отличие от привычных схем в том, что решение о доступе принимается не по факту подтверждённой личности, а на основе анализа контекста и оценки риска. Реализуется это через облачную платформу, которая доставляет проверку подключения максимально близко к конечному пользователю — «на краю» сети.
Почему периметр больше не спасает
Классические периметровые архитектуры — на файрволах и VPN — подключают пользователя не к самому ресурсу, а к сети, где этот ресурс находится. Такую модель часто называют «замок и ров»: периметр обороняет внутреннюю сеть, как ров — крепость. Проблема в том, что если угроза преодолела ров, внутри её больше ничего не сдерживает — она свободно перемещается по сети. В терминах безопасности это называется латеральным (боковым) движением угрозы, и именно оно превращает единичный взлом в масштабную утечку.
Масштабируемость — не опция, а требование
Когда весь трафик организации идёт через облако вендора Zero Trust, эта платформа становится критически важным сервисом, который обязан расти вместе с объёмами трафика клиента в реальном времени. Без этого страдают и безопасность, и производительность бизнеса. Есть и менее очевидный побочный эффект нехватки масштабируемости: шифрованный трафик начинает проверяться частично или вообще не проверяется — это ресурсоёмкая операция. А учитывая, что сегодня зашифровано уже 95% веб-трафика и киберпреступники прячут в нём 86% своих атак, неспособность инспектировать шифрованный трафик на масштабе означает практически гарантированный пропуск угроз. И это касается не только крупного бизнеса — небольшие компании сталкиваются с теми же ограничениями по мере роста.
В качестве примера обкатанной платформы в материале приводится Zscaler, чьё название расшифровывается как «зенит масштабируемости» (zenith of scalability). Компания приводит следующие цифры своей платформы Zero Trust Exchange, которую называет крупнейшим в мире инлайн-облаком безопасности: 150 дата-центров по всему миру, 400 миллиардов запросов обрабатывается ежедневно, 500 триллионов сигналов телеметрии анализируется в сутки, 9 миллиардов инцидентов и нарушений политик предотвращается каждый день, 150 миллионов киберугроз блокируется ежедневно, 250 тысяч уникальных обновлений безопасности внедряется каждый день.
Отказоустойчивость как часть архитектуры
Поскольку платформа Zero Trust встроена «инлайн» между пользователями, приложениями и рабочими нагрузками, вопрос непрерывности её работы — это уже не техническая деталь, а приоритет уровня совета директоров. У Zscaler за это отвечает модуль Zscaler Resilience: при мелких сбоях (падение узла, программная ошибка) платформа справляется сама с минимальным участием клиента; при деградации сервиса включается динамический выбор service edge по производительности и возможность исключения проблемных дата-центров; при полном отказе связи трафик переключается на ближайшие резервные дата-центры; а в катастрофических сценариях доступен управляемый клиентом аварийный режим с маршрутизацией через приватные service edge.
Доказательства на практике
Кроме технических характеристик, важна и история реальных внедрений. Zscaler приводит примеры клиентов разного масштаба: от Commonwealth Grants Commission в Австралии со штатом около 100 пользователей до Siemens в Германии с сотнями тысяч пользователей и Департамента образования Нью-Йорка, где платформа защищает 1 миллион пользователей. Среди общих показателей компания называет почти 8000 клиентов по всему миру, свыше 41 миллиона защищённых пользователей, индекс лояльности NPS выше 70 (при среднем по рынку SaaS в 30 пунктов), а также то, что клиентами являются более 40% компаний из списка Fortune 500 и свыше 30% из Global 2000.
Вывод простой: концепция Zero Trust решает реальную проблему периметровых схем, но её ценность напрямую зависит от того, насколько платформа-поставщик готова выдерживать нагрузку, восстанавливаться после сбоев и подтверждать заявленное реальными внедрениями — а не только маркетинговыми слайдами.
Источник: NetworkWorld.