Zero TrustПрактическое руководство
От стандартов NIST до рабочих конфигураций — AWS, GCP, Azure, Kubernetes, on-prem
Skip to content
О книге
Практическое руководство по внедрению архитектуры нулевого доверия (Zero Trust Architecture) в реальной инфраструктуре. 25 глав последовательно охватывают все 5 столпов модели зрелости CISA — идентичность, устройства, сеть, приложения и данные — с конфигурациями для AWS, Google Cloud, Azure, Kubernetes и on-premise.
Каждая глава построена по формату Why → How → Lab: конкретная проблема безопасности, архитектурное решение с разбором компромиссов и практическая лаборатория с воспроизводимыми конфигурациями (YAML, HCL, JSON, Bash).
Для кого
Руководство предназначено для инфраструктурных инженеров, DevOps, security-инженеров и platform engineers. Предполагается знание основ облачных платформ, Kubernetes и сетей. Не предполагается знание фреймворков Zero Trust, SPIFFE/SPIRE или внутреннего устройства service mesh.
Что отличает от существующих материалов
- Все платформы в одном месте — AWS, GCP, Azure, Kubernetes, VMware, on-prem. Не отдельная книга по каждому облаку, а единый подход с конфигурациями для всех
- Проверено по первоисточникам — каждая конфигурация сверена с официальной документацией NIST, CISA, облачных провайдеров и проектов CNCF
- 70% практики — сниппеты кода, Lab-работы, пошаговые инструкции. Теория только для контекста
- Актуальные версии — Cilium 1.19, Istio 1.28, Vault 1.21, Kyverno 1.17, Kubernetes 1.33
Содержание
Часть I. Основы Zero Trust
Фундамент: от понимания проблемы периметра до конкретного плана внедрения.
- Конец периметра — SolarWinds, Colonial Pipeline, почему castle-and-moat не работает
- Фреймворки и стандарты — NIST SP 800-207, CISA ZTMM v2, DoD ZT Strategy
- Архитектурные паттерны — EIG, SDP, BeyondCorp, PE/PA/PEP
- Оценка зрелости — self-assessment, дорожная карта 6–18 месяцев
Часть II. Идентичность
Первый столп CISA. Идентичность людей и машин — новый периметр.
- Фундамент идентичности — SAML, OIDC, OAuth 2.0, FIDO2, passkeys, Keycloak
- Привилегированный доступ — CyberArk, Teleport, HashiCorp Vault, JIT
- SPIFFE/SPIRE — workload identity, SVID, attestation, federation
Часть III. Устройства
Второй столп. Непрерывная оценка доверия к устройству.
- Доверие к устройствам — TPM 2.0, Measured Boot, Intune, Jamf, BYOD
- EDR и непрерывная оценка — osquery, Fleet, CrowdStrike ZTA, XDR
Часть IV. Сеть
Третий столп. Сеть больше не граница доверия — каждый flow проверяется.
- Микросегментация — Cilium, Calico, VMware NSX, Security Groups
- SASE и ZTNA — AWS Verified Access, GCP IAP, Cloudflare Access
- Service Mesh и mTLS — Istio, Linkerd, SPIRE интеграция
Часть V. Приложения
Четвёртый столп. Supply chain security, Kubernetes hardening, CI/CD.
- Безопасность приложений — SBOM, Sigstore, SLSA, OPA/Gatekeeper, Kyverno
- Kubernetes: глубокое погружение — RBAC, PSS, Vault CSI, multi-tenancy
- Безопасность CI/CD — OIDC federation, keyless signing, hardened runners
Часть VI. Данные
Пятый столп. Защита данных независимо от сети и приложений.
- Классификация и управление — DLP, AWS Macie, шифрование, KMS
- Контроль доступа к данным — ABAC, мониторинг активности, data lineage
Часть VII. Сквозные аспекты
Наблюдаемость, политики, инциденты — темы, пронизывающие все 5 столпов.
- Наблюдаемость — SIEM, OpenTelemetry, security data lake
- Политика как код — Terraform, OPA/Rego, Cedar, GitOps
- Реагирование на инциденты — assume breach, SOAR, playbooks
- Комплаенс — SOC 2, ISO 27001, PCI DSS, GDPR
Часть VIII. Продвинутые сценарии
Мультиоблако, легаси, AI-агенты, постквантовая криптография.
- Мультиоблачная архитектура — SPIRE federation, Terraform multi-provider
- Легаси и гибридные среды — brownfield, OAuth2-proxy, Pomerium
- Новые горизонты — AI agents, TEE, PQC, IoT/OT
- Эталонная архитектура — capstone проект, ADR, cost model
Стандарты и источники
Руководство построено на документах, определяющих архитектуру Zero Trust в индустрии:
| Документ | Организация | Что даёт |
|---|---|---|
| NIST SP 800-207 | NIST (2020) | Базовая архитектура Zero Trust: Policy Engine, Policy Administrator, PEP, 7 принципов |
| CISA ZTMM v2 | CISA (2023) | Модель зрелости: 5 столпов (Identity, Devices, Networks, Applications, Data), 4 уровня (Traditional → Optimal) |
| NIST SP 1800-35 | NIST (2024) | Практическое руководство: 24 вендора, сценарии внедрения |
| NIST SP 800-228 | NIST (2025) | Защита API в облачных средах: Zero Trust для внутренних API |
| DoD ZT Strategy | DoD (2022) | 152 активности, 7 столпов: User, Device, Network, Application, Data, Visibility, Automation |
| CISA Microseg Guidance | CISA (2025) | Микросегментация: 4 фазы внедрения |
Помимо стандартов, в книге используются официальная документация AWS, Google Cloud, Microsoft Azure, а также проекты CNCF: SPIFFE/SPIRE, Istio, Linkerd, Cilium, OPA, Falco.
Инструменты
В руководстве рассматриваются конфигурации более 40 инструментов. Вот ключевые:
| Категория | Open Source | Облачные сервисы |
|---|---|---|
| Идентичность | Keycloak, SPIFFE/SPIRE | Entra ID, AWS IAM Identity Center, GCP WIF |
| Секреты | HashiCorp Vault, External Secrets Operator | AWS Secrets Manager, Azure Key Vault, GCP Secret Manager |
| Сеть | Cilium, Calico, Istio, Linkerd | AWS VPC Lattice, GCP IAP, Azure Private Access |
| ZTNA | Cloudflare Access, Pomerium | AWS Verified Access, Chrome Enterprise Premium |
| Политики | OPA/Gatekeeper, Kyverno, Checkov | AWS Config, Azure Policy, GCP Organization Policy |
| Supply chain | Sigstore, Trivy, Grype | GitHub Artifact Attestations, GCP Binary Authorization |
| Наблюдаемость | OpenTelemetry, Grafana, osquery | AWS Security Lake, Azure Sentinel, Chronicle |
Об авторе
Владимир Радкевич — инфраструктурный инженер, автор публикаций на Habr по ZTNA и SPIFFE/SPIRE. Специализация — облачная инфраструктура, Kubernetes, безопасность.
Руководство собрано по официальной документации NIST, CISA, облачных провайдеров и проектов CNCF. Каждая конфигурация проверена по первоисточникам — если что-то написано в книге, на это можно указать конкретный раздел документации.
Приложения
- Глоссарий — термины Zero Trust с определениями (EN → RU)
- Матрица инструментов — 40+ инструментов по категориям с описанием и лицензиями
- Чеклист CISA — self-assessment по 5 столпам и 4 уровням зрелости
- Примеры кода — все конфигурации из книги