Чеклист CISA Zero Trust Maturity Model v2
Self-assessment на основе CISA Zero Trust Maturity Model v2 (апрель 2023). Подробное описание модели — в Главе 4.
Для каждого столпа отметьте достигнутый уровень и определите целевой. Разрыв между ними — ваша дорожная карта.
Столп 1: Идентичность (Главы 5-7)
Traditional
- [ ] Пароли + MFA только для привилегированных пользователей
- [ ] On-prem Active Directory как основной IdP
- [ ] Статические сервисные аккаунты с long-lived credentials
- [ ] Ручное управление доступом
Initial
- [ ] Единый IdP (Entra ID / Okta / Keycloak) для всех пользователей
- [ ] MFA для всех пользователей (TOTP или push)
- [ ] Централизованный SSO (OIDC/SAML)
- [ ] Начальная инвентаризация NHI (сервисные аккаунты, API-ключи)
Advanced
- [ ] Phishing-resistant MFA (FIDO2 / passkeys) для всех пользователей
- [ ] Risk-based Conditional Access (устройство + местоположение + поведение)
- [ ] JIT-доступ для привилегированных аккаунтов (PIM / TEAM)
- [ ] Workload identity (SPIRE / cloud WIF) для сервисов
- [ ] Автоматическая ротация секретов (Vault dynamic secrets)
Optimal
- [ ] Passwordless для 100% пользователей
- [ ] Continuous Access Evaluation (CAE / CAEP)
- [ ] Полный lifecycle management для NHI
- [ ] SPIFFE/SPIRE federation между всеми средами
- [ ] Zero static secrets в production
Столп 2: Устройства (Главы 8-9)
Traditional
- [ ] Устройства управляются вручную (нет MDM)
- [ ] Антивирус как единственная защита
- [ ] Нет инвентаризации устройств
- [ ] Доступ не зависит от состояния устройства
Initial
- [ ] MDM enrollment для корпоративных устройств (Intune / Workspace ONE)
- [ ] Базовые compliance policies (пароль, шифрование, OS version)
- [ ] Инвентаризация всех устройств в сети
- [ ] EDR на серверах и критичных endpoint'ах
Advanced
- [ ] Device compliance как условие Conditional Access
- [ ] EDR risk score интегрирован в решения о доступе
- [ ] osquery / Fleet для visibility Linux-серверов
- [ ] Hardware attestation (TPM / Secure Boot)
- [ ] Автоматическая изоляция скомпрометированных устройств
Optimal
- [ ] Real-time device posture для каждого запроса
- [ ] Certificate-based device identity (MAA / Apple MDA)
- [ ] BYOD-политики с MAM (без full MDM)
- [ ] Автоматическое обнаружение и блокировка неуправляемых устройств
Столп 3: Сети (Главы 10-12)
Traditional
- [ ] Flat network (единый VLAN, без сегментации)
- [ ] VPN для удалённого доступа
- [ ] Firewall только на периметре
- [ ] Доверие на уровне сети (trusted zones)
Initial
- [ ] Базовая сегментация (VLAN, Security Groups / NSG)
- [ ] ZTNA для топ-10 приложений (Verified Access / IAP / Entra PA)
- [ ] DNS-based threat protection
- [ ] Начало микросегментации (Kubernetes NetworkPolicy)
Advanced
- [ ] Микросегментация на уровне workload (Cilium / Calico / Illumio)
- [ ] mTLS между всеми сервисами (service mesh: Istio / Linkerd)
- [ ] ZTNA заменяет VPN для >80% use cases
- [ ] Identity-aware сегментация (не IP-based)
- [ ] Encrypted DNS (DoH / DoT)
Optimal
- [ ] Default-deny для всех сетевых соединений
- [ ] L7-aware политики (HTTP method/path, gRPC service)
- [ ] VPN полностью деcommissioned (или микросегментированный для legacy)
- [ ] Автоматическая адаптация политик на основе threat intelligence
- [ ] PQ-TLS для критичных соединений
Столп 4: Приложения и нагрузки (Главы 13-15)
Traditional
- [ ] Нет SBOM, нет image signing
- [ ] CI/CD с long-lived credentials
- [ ] Нет admission control в Kubernetes
- [ ] Ручное управление зависимостями
Initial
- [ ] SBOM генерируется при сборке (CycloneDX / SPDX)
- [ ] Image signing (Cosign keyless)
- [ ] OIDC federation для CI/CD (GitHub Actions / GitLab → облако)
- [ ] Базовый admission control (PSS / Kyverno / Gatekeeper)
Advanced
- [ ] SLSA L2+ для всех production-артефактов
- [ ] Kyverno/Gatekeeper блокирует unsigned images
- [ ] API security: rate limiting, input validation, OAuth mTLS
- [ ] Vault CSI Provider для секретов в K8s
- [ ] Dependency scanning в CI (Trivy, Grype)
Optimal
- [ ] SLSA L3 с hermetic builds
- [ ] Binary Authorization / Verified Builds перед деплоем
- [ ] Runtime policy enforcement (OPA ext_authz)
- [ ] Vulnerability-aware admission: block CVE-critical images
- [ ] Supply chain attestation chain: source → build → deploy → runtime
Столп 5: Данные (Главы 16-17)
Traditional
- [ ] Данные не классифицированы
- [ ] Шифрование только на уровне диска (если есть)
- [ ] Нет DLP
- [ ] Shared accounts для доступа к БД
Initial
- [ ] Базовая классификация данных (Public / Internal / Confidential / Restricted)
- [ ] Encryption at rest (KMS / customer-managed keys)
- [ ] Encryption in transit (TLS для всех соединений)
- [ ] Начальный аудит доступа к данным
Advanced
- [ ] Автоматическая классификация (Purview / DLP API / Macie)
- [ ] ABAC для доступа к данным (атрибуты вместо ролей)
- [ ] Column-level и row-level security для БД
- [ ] DLP-политики для SaaS и endpoint
- [ ] Tokenization для PII
Optimal
- [ ] Data Loss Prevention на всех каналах (email, web, endpoint, cloud)
- [ ] Confidential computing для чувствительных данных (TEE)
- [ ] Rights management (DKAL / IRM) для документов
- [ ] Real-time anomaly detection для доступа к данным
- [ ] Data lineage для compliance audit
Сквозные возможности
Visibility & Analytics (Глава 18)
- [ ] Централизованные логи (SIEM: Sentinel / Wazuh / ELK)
- [ ] OpenTelemetry для traces/metrics/logs
- [ ] Корреляция security-событий между столпами
- [ ] Автоматические алерты на аномальное поведение
- [ ] Dashboard с покрытием ZT по столпам
Automation & Orchestration (Главы 19-20)
- [ ] Infrastructure as Code (Terraform / OpenTofu)
- [ ] Policy as Code (OPA/Rego, Conftest)
- [ ] GitOps для инфраструктуры и политик
- [ ] Автоматическое реагирование на инциденты (SOAR)
- [ ] Runbooks для типовых инцидентов
Governance (Глава 21)
- [ ] Непрерывный compliance мониторинг
- [ ] Маппинг контролей на фреймворки (SOC 2, ISO 27001, PCI DSS)
- [ ] Регулярный review привилегий (access review)
- [ ] Документированные ADR для архитектурных решений
- [ ] Метрики зрелости ZT для руководства
Шаблон: сводная таблица зрелости
| Столп | Текущий уровень | Целевой (12 мес) | Ключевые действия |
|---|---|---|---|
| Идентичность | ________________ | ________________ | |
| Устройства | ________________ | ________________ | |
| Сети | ________________ | ________________ | |
| Приложения | ________________ | ________________ | |
| Данные | ________________ | ________________ |
Подробная методика оценки и приоритизации — в Главе 4 и Главе 25.